Black Hat Asia 2023

SAP ออกแพตช์อุดช่องโหว่ 19 ตัวบน SAP CMC และ SAP NetWeaver

SAP ได้ประกาศออกแพตช์อุดช่องโหว่กว่า 19 ตัวในหลายผลิตภัณฑ์ มีช่องโหว่ที่สำคัญกระทบกับ SAP Business Objects Business Intelligence Platform (CMC) และ SQP NetWeaver โดยช่องโหว่ที่สำคัญมีดังนี้

Credit: Pavel Ignatov/ShutterStock

  • CVE-2023-25616: (CVSS v3: 9.9) ช่องโหว่ Code Injection ใน SAP Business Intelligent Platform กระทบกับเวอร์ชัน 420 และ 430
  • CVE-2023-23857: (CVSS v3: 9.8) ช่องโหว่ Information disclosure และ DoS กระทบ SAP NetWeaver AS for Java เวอร์ชัน 7.50
  • CVE-2023-27269: (CVSS v3: 9.6) ช่องโหว่ Directory Traversal กระทบ SAP NetWeaver Application Server for ABAP ทำให้ผู้โจมตีทำการเขียน File system ได้โดยตรง เวอร์ชันที่ได้รับผลกระทบได้แก่ 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, และ 791
  • CVE-2023-27500: (CVSS v3: 9.6) ช่องโหว่ Directory Traversal บน SAP NetWeaver AS for ABAP ทำให้สามารถโจมตีผ่าน SAPRSBRO เพื่อเขียน File system ทำให้ Endpoint ได้รับความเสียหายได้ เวอร์ชันที่ได้รับผลกระทบได้แก่ 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, และ 757
  • CVE-2023-25617: (CVSS v3: 9.0) ช่องโหว่ Command Execution บน SAP Business Objects Business Intelligence Platform เวอร์ชัน 420 และ 430 ทำให้ผู้โจมตีจากระยะไกลส่งคำสั่งไปยังระบบปฏิบัติการเพื่อใช้งาน BI Launchpad, Central Management Console และ Custom Application ที่เป็น Java SDK ได้

นอกจากนี้ SAP ยังออกแพตช์ช่องโหว่สำคัญอีก 4 ตัว และช่องโหว่ความรุนแรงระดับปานกลางอีก 10 ตัว ผู้ดูแลระบบควรทำการอัปเดตทันที ที่ผ่านมา SAP ถูกมุ่งเป้าโจมตีเนื่องจากเป็นระบบที่มีความสำคัญและองค์กรขนาดใหญ่ทั่วโลกนิยมใช้งาน ปัจจุบัน SAP มีลูกค้ามากกว่า 425,000 รายจาก 180 ประเทศทั่วโลก เมื่อช่วงปีที่แล้ว US Cybersecurity and Infrastucture Security Agency (CISA) เคยออกคำเตือนสำหรับผู้ดูแลระบบให้ทำการแพตช์ช่องโหว่สำคัญบน SAP Business App มาแล้ว เพื่อป้องกันการขโมยข้อมูลและการแพร่กระจายแรนซัมแวร์

ที่มา: https://www.bleepingcomputer.com/news/security/sap-releases-security-updates-fixing-five-critical-vulnerabilities/


About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนมือใหม่ผู้หลงใหลใน Enterprise IT และซูชิ

Check Also

พลิกมุมคิดการจัดการคลาวด์ไอทีอย่างสมาร์ตฉบับวีเอ็มแวร์ [Guest Post]

แม้คลาวด์จะกลายเป็นส่วนหนึ่งของการพาองค์กรก้าวข้ามวิกฤตไปสู่การสร้างสรรค์โมเดลธุรกิจหรือกลยุทธ์การแข่งขันใหม่ ด้วยคุณลักษณะที่คล่องตัว (Agility) ในการปรับความต้องการใช้งานโดยอัตโนมัติ (Auto-Scaling) ได้ด้วยตัวเอง (Self-Services) ทว่าหลายองค์กรซึ่งเลือกปฏิวัติระบบธุรกิจขึ้นสู่คลาวด์กลับประสบปัญหาการจัดการทรัพยากรที่ยิบย่อยบนคลาวด์ไม่ไหว แถมหัวจะปวดกับภัยคุกคามที่ยุ่งยากในการป้องกัน ด้วยเหตุนี้ ความคาดหวังต่อไอทีคลาวด์ยุคถัดไป คือ การปรับแต่งแอปพลิเคชันและแพลตฟอร์มคลาวด์ไอทีให้ทันสมัยตรงต่อความต้องการทางธุรกิจ ภายใต้ระบบการรักษาความปลอดภัยแบบองค์รวมที่แข็งแกร่ง ทั่วถึง และเป็นอัตโนมัติกว่าเดิม

Microsoft Teams, VirtualBox, Tesla ถูกเจาะ Zero-days ในงาน Pwn2Own

Microsoft Teams, VirtualBox, Tesla ถูกเจาะ Zero-days ในงาน Pwn2Own Vancouver 2023 ผู้เข้าแข่งขันกวาดเงินรางวัลสูงสุด 475,000 เหรียญ หรือประมาณ 16 …