เผย 5 ช่องโหว่ร้ายแรงล่าสุดบนระบบ SAP

sap_logo

Onapsis ผู้ให้บริการโซลูชันชั้นนำสำหรับป้องกันแอพพลิเคชันเชิงธุรกิจ ได้เปิดเผย Security Advisories ระบุรายละเอียดเกี่ยวกับช่องโหว่ร้ายแรงของซอฟต์แวร์ SAP BusinessObjects และ SAP HANA ซึ่งประกอบด้วย 3 ช่องโหว่ร้ายแรงที่ยอมให้ผู้ใช้งานที่ไม่ได้ลงทะเบียนสามารถเขียนทับข้อมูลได้ และอีก 2 ช่องโหว่ที่มีความรุนแรงระดับปานกลาง

ttt_sap_bug

3 ช่องโหว่ร้ายแรงช่วยให้แฮ็คเกอร์สามารถเข้าถึงข้อมูลสำคัญ (Mission-critical Information) เช่น ข้อมูลลูกค้า, ข้อมูลราคาผลิตภัณฑ์, เอกสารการเงิน, ข้อมูลพนักงาน, Supply Chains, ข้อมูลงบประมาณ และแผนงาน เป็นต้น ซึ่งทั้ง 3 ช่องโหว่นี้ พบบน SAP BusinessObjects ผ่านทาง CORBA Connector ประกอบด้วย

  • Unauthorized Audit Information Delete: แฮ็คเกอร์สามารถเข้าถึงข้อมูล Audit จากระยะไกล และลบข้อมูลเหล่านั้นได้โดยไม่ต้องพิสูจน์ตัวตนใดๆ รวมถึงสามารถแอบทำพฤติกรรมอื่นๆโดยที่ระบบไม่สามารถตรวจจับได้
  • Unauthorized File Repository Server Write: แฮ็คเกอร์สามารถเข้าถึงข้อมูลสำคัญเชิงธุรกิจที่เก็บอยู่ในระบบได้จากระยะไกล และเขียนทับข้อมูลเหล่านั้นได้โดยไม่ต้องพิสูจน์ตัวตนใดๆ
  • Unauthorized File Repository Server Read: แฮ็คเกอร์สามารถเข้าถึงและนำข้อมูลสำคัญเชิงธุรกิจที่เก็บอยู่ในระบบออกไปได้จากระยะไกลโดยไม่ต้องพิสูจน์ตัวตนใดๆ

และ 2 ช่องโหว่ความรุนแรงระดับปานกลางที่ค้นพบบน SAP BusinessObjects และ SAP HANA ได้แก่

  • Multiple Reflected Cross-site Scripting Vulnerabilities in SAP HANA Web-based Development Workbench: แฮ็คเกอร์สามารถโจมตีผู้ใช้งานคนอื่นได้จากระยะไกลโดยไม่ต้องพิสูจน์ตัวตนใดๆ
  • SAP Business Objects Unauthorized Audit Information Access via CORBA: แฮ็คเกอร์สามารถเข้าถึงและอ่านข้อมูล Audit และข้อมูลสำคัญเชิงธุรกิจได้จากระยะไกล ซึ่งการเข้าถึงเหล่านี้ควรถูกจำกัด

สำหรับผู้ที่ใช้งาน SAP อยู่ สามารถดูรายละเอียดและอัพเดทแพทช์เพื่ออุดช่องโหว่ได้ที่ http://www.onapsis.com/research/advisories

ที่มา: http://www.net-security.org/secworld.php?id=18016


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบช่องโหว่บน macOS ทำให้ bypass SIP ได้

พบช่องโหว่บน macOS ทำให้ผู้โจมตีสามารถ bypass ระบบ System Integrity Protection (SIP) ได้

NVIDIA มีมูลค่าบริษัทแตะ 1 ล้านล้านเหรียญแล้ว

NVIDIA มีมูลค่าบริษัทแตะ 1 ล้านล้านเหรียญเป็นที่เรียบร้อยแล้ว จากการเติบโตของ AI