SAP 的 5 万用户要小心了

运行SAP软件的5万家企业公司岌岌可危！据称10个SAP生产系统中有9个容易受到新漏洞的攻击。

 

研究人员表示，由于新漏洞针对软件中的配置缺陷，多达5万家已采用SAP解决方案的企业可能容易受到网络攻击。

据Onapsis研究实验室的网络安全团队声称，针对SAP软件两个技术组件的名为10KBlaze的漏洞最近已发布，漏洞会导致SAP应用软件“完全中招”，甚至不需要有效的SAP用户ID和密码。

Onapsis在详细介绍该漏洞的报告中表示，这种中招包括删除关键业务型应用软件数据以及窃取或篡改敏感信息。

“10KBlaze”工具还可用于创建拥有任意权限的新用户，用于执行业务功能，比如创建新的供应商或采购订单（换句话说，实施财务欺诈），以及用于擅自访问SAP数据库或破坏业务运营。

没有任何形式的身份验证，远程攻击者只要略懂一些技术知识和通过网络连接到易受攻击的系统，就可以执行攻击。

由于使用网关中的访问控制列表和消息服务器，所有SAP NetWeaver Application Server（AS）和S/4HANA系统都面临风险。研究人员表示，下列应用软件受到影响：

• SAP S/4HANA

• SAP企业资源规划（ERP）

• SAP产品生命周期管理（PLM）

• AP客户关系管理（CRM）

• SAP人力资本管理（HCM）

• SAP供应链管理（SCM）

• SAP供应商关系管理（SRM）

• SAP NetWeaver业务仓库（BW）

• SAP商业智能（BI）

• SAP流程集成（PI）

• SAP解决方案管理器（SolMan）

• SAP治理、风险和合规10.x（GRC）

• SAP NetWeaver ABAP Application Server 7.0-7.52

这些漏洞并不依赖SAP代码中的核心漏洞。相反，SAP NetWeaver安装管理配置和设置中的错误可用于危及应用软件。

据Onapsis声称，使用SAP NetWeaver和S/4HANA的多达5万家公司和100万个生产系统存在配置不当的问题。该团队估计，企业使用的SAP系统中90%可能岌岌可危。

Onapsis说：“如果这些配置并没有像SAP建议的那样予以保护（在实施和GoLive过程中更容易保护），最近公布的漏洞可用于攻击受影响的公司。”

SAP之前在2005年、2009年和2010年向客户发布了指南，描述了如何正确设置应用软件配置以防漏洞被利用。建议IT团队立即检查其系统，确保它们受到保护。

Onapsis的首席执行官Mariano Nunez说：“大致上来说，可以在短短几秒内让一家公司陷入停顿。”该公司专门为商业应用软件确保安全，比如SAP和竞争对手Oracle开发的商业应用软件。

“借助这些漏洞，黑客就可以窃取驻留在一家公司的SAP系统上的任何数据，并篡改上面的任何信息，因此黑客就能实施金融欺诈、提取资金或者蓄意破坏和扰乱系统。”

SAP称：“SAP总是强烈建议尽快安装新发布的的安全修复程序。”

SAP软件被全球2000强企业中90%以上的公司用来管理从员工工资单、产品销售到工业流程的各个方面。

安全专家们表示，针对那些系统的攻击会对受害者企业和更广泛的供应链造成严重破坏。SAP在官网上称，SAP客户共同销售全球78%的食品和全球82%的医疗设备。