T客汇:全世界超过25万企业SAP存在严重安全问题
体客汇官方网站:tikehui.com
写 | 称为 T 客人
据Onapsis的调查报告显示,全球已有超过25万家企业受到SAP系统一系列安全漏洞的影响,可能导致严重的企业数据泄露。
SAP是全球最受欢迎的企业应用软件公司和解决方案提供商,为超过85%的全球500强企业和190个国家的282,000+客户提供解决方案。
漏洞原因
最近对 SAP 解决方案提供商的一项研究表明,超过 95% 的企业 SAP 存在严重的安全问题,使它们面临网络攻击的风险,并可能导致严重的数据泄露。
影响范围包括全球 100 个最有价值品牌中的 98%,以及全球超过 25 万个 SAP 业务客户因 SAP 系统中的一系列漏洞而遭受网络攻击。
onapsis 首席执行官马里亚诺·努涅斯 (Mariano Nunez) 表示:
“最令人惊讶的是,由于SAP运营团队和IT安全团队之间的责任差距,大多数公司的SAP网络安全都面临着威胁。事实上,大多数应用的补丁与安全无关,并且发布得太晚或引入进一步的操作风险。”
研究还报告称,SAP在2014年发布了391个安全补丁,其中超过50%被评为高危漏洞。
攻击方式及影响范围
针对 SAP 应用程序的主要网络攻击(即系统弱点)分为以下几类:
1.核心网络:执行远程功能的模块。
2、数据仓库:为了获取或修改SAP数据库中的信息系统漏洞修复软件,利用SAP RFC网关中的漏洞执行管理员权限指令。
3、门户攻击:利用漏洞创建J2EE后门账户,访问SAP门户等内部系统。
该报告提供了针对 SAP 系统的三种最常见网络攻击的详细信息。 这些攻击媒介允许黑客破坏可以访问公司数据的 SAP 系统和应用程序。 专家研究证实,网络攻击将严重影响以下关键业务流程:
1、SAP系统之间使用Pivoting,导致客户信息、信用卡信息泄露。
2. 客户和供应商门户攻击。
3、通过SAP私有协议对数据仓库发起攻击。
Nunez 表示,450% 的新安全补丁由 SAP HANA 负责:
“这种趋势不仅持续存在,而且随着 SAP HANA 的出现而变得更糟,导致新安全补丁数量增加了 450%。 由于 SAP HANA 处于 SAP 生态系统的中心,因此 SAP 平台中存储的数据现在必须同时在云端和前端进行保护。”
安防措施
报告还提供了以下提高SAP系统安全级别的行动计划:
1. 获取 SAP 基于资产的可视化功能来确定“风险价值”。
2. 通过持续监控防止安全和合规问题。
3. 检测并响应新的威胁、攻击或异常用户行为作为攻击指标。
为了保护 SAP 软件,遵循任何 SAP 安全记录并监控内部架构以防止安全问题非常重要。
SAP发布10月安全更新共修补了48个软件漏洞,其中包括早在2012年就发现的SAP P4验证检查漏洞。虽然SAP在2013年就修复了该漏洞,但长期跟踪SAP产品安全的ERPScan指出,据测试,大多数新系统版本仍存在相同漏洞系统漏洞修复软件,暴露信息安全风险长达3年。
大型企业应用软件公司 SAP 本周发布了 10 月份的软件安全更新。 其中之一修复了 SAP P4 身份验证检查漏洞。 据说已经存在3年了,终于被修复了。
本次更新共修复了48个软件漏洞。 据长期跟踪ERP厂商产品安全的行业公司ERPScan分析,这是自2012年以来单月漏洞修补记录数最高的一次。
大多数都是针对可切换授权检查漏洞进行补丁,其中最引人注目的是SAP NetWeaver AS JAVA P4上存在了3年之久的缺少身份验证检查漏洞,该漏洞影响了SAP的网络。 服务允许黑客远程控制SAP的JAVA平台,例如SAP Portal系统。
该漏洞其实早在2012年就被发现了,SAP也在2013年发布了补丁。不过ERPScan表示,该公司的测试发现大多数新系统版本仍然存在同样的问题。 现在SAP终于修复了它,表明有问题的系统在过去三年里一直暴露在风险之中。
尽管漏洞网络服务应该只存在于企业内网内部,一般互联网上的用户不会发现,但ERPScan仍然在网络上发现了多达256个可通过互联网访问的漏洞服务,其中57个来自印度, 35名来自美国,18名来自中国。 它们是互联网上发现漏洞最多的三个国家。
这并不是 SAP 第一次被发现在修补软件漏洞方面落后。 在今年7月的更新中,还修复了一个被发现3年的软件漏洞。
但目前还没有证据表明这些很晚才修补的漏洞确实导致用户受到攻击或遭受损失。 SAP表示,它一直在与包括ERPScan在内的研究单位合作,以确保任何漏洞的披露都是负责任地进行的。 SAP还通过服务市场提供安全更新供用户下载。 该公司还呼吁用户在 SAP 发布安全更新后立即下载并安装它们。
TKehui:企业级研究媒体
网址:tikehui.com
❶37篇To B深度报道
❷1028位To B创始人
❸205家To B投资机构
第二届中国SaaS产业峰会将于12月8日在深圳举行。 点击阅读全文并注册:
