US-CERT เตือน ช่องโหว่ SAP เมื่อ 5 ปีก่อนกลับมาหลอกหลอนอีกครั้ง

US-CERT ศูนย์เฝ้าระวังภัยคุกคามของสหรัฐฯ ออกมาแจ้งเตือนผู้ใช้บริการระบบ SAP ถึงช่องโหว่เก่าเมื่อ 5 ปีก่อนที่หลายบริษัทอัพเดทแพทช์ไม่ดีเพียงพอ ส่งผลให้แฮ็คเกอร์สามารถเจาะระบบเพื่อเข้าควบคุมระบบ SAP ขององค์กรได้ทันที ที่สำคัญคือ ขณะนี้เกิดการโจมตีบริษัทยักษ์ใหญ่ทั่วโลกผ่านช่องโหว่นี้

ttt_sap_bug

36 บริษัทขนาดใหญ่ทั่วโลกตกเป็นเป้าหมาย

Onapsis บริษัทที่ปรึกษาด้านความมั่นคงปลอดภัยระบบ SAP ระบุว่า มีอย่างน้อย 36 องค์กรจากสหรัฐฯ สหราชอาณาจักร เยอรมนี จีน อินเดีย ญี่ปุ่น และเกาหลีใต้ ที่ถูกเจาะระบบผ่านทางช่องโหว่ดังกล่าวตลอดระยะเวลา 3 ปี ตั้งแต่ปี 2013 – 2016 โดยการโจมตีทั้งหมดถูกเปิดเผยบน Digital Forum แห่งหนึ่งที่ลงทะเบียนภายใต้ประเทศจีน

“ต้นปี 2016 ที่ผ่านมา เราเริ่มตระหนักถึงปัญหาช่องโหว่บน SAP หลังจากที่เราได้เห็นผลลัพธ์ของการสแกนโดยใช้ Onapsis Security Platform กับลูกค้าที่ใช้ระบบ SAP และจากการทำ SAP Forensices & Incident Response ทีมนักวิจัยของเราจึงตัดสินใจที่จะขุดลงไปในปัญหาดังกล่าวให้ลึกขึ้น แล้วก็พบว่าปัญหาช่องโหว่ SAP นี้ปรากฏบน Digital Forum มานานหลายปีแล้ว” — Onapsis ระบุ

ช่องโหว่อายุนานกว่า 5 ปี

ช่องโหว่หลักที่แฮ็คเกอร์ใช้เจาะระบบถูกระบุว่าเป็นช่องโหว่บน “Invoker Servlet” องค์ประกอบหนึ่งของ NetWeaver Application Server Java Systems (SAP Java Platform) ซึ่ง SAP ได้ออกแพทช์เพื่ออุดช่องโหว่นี้ตั้งแต่ปี 2010 แฮ็คเกอร์สามารถใช้ช่องโหว่บน Invoker Servlet เพื่อเข้าถึงระบบ SAP จากระยะไกลโดยได้สิทธิ์ระดับ Admin ได้ทันที

“แฮ็คเกอร์สามารถโจมตีช่องโหว่ผ่านทาง HTTP(S) โดยไม่จำเป็นต้องพิสูจน์ตัวตนผ่านระบบ SAP แต่อย่างใด แฮ็คเกอร์เพียงแค่ใช้เว็บเบราเซอร์และชื่อโดเมน ชื่อโฮสต์ หรือหมายเลข IP ของระบบ SAP เป้าหมายเท่านั้น” — Onapsis อธิบาย

US-CERT แนะนำให้ผู้ใช้และผู้ดูแลระบบทุกคนแก้ปัญหาตาม SAP Security Note 1445998 และยกเลิกการใช้ Invoker Servlet

แพทช์ยากเกินไป หลายบริษัทยังคงมีช่องโหว่

ERPScan ระบุว่า ช่องโหว่บน Invoker Servlet กระทบแอพพลิเคชันที่รันบน SAP Java Platform ทั้งหมด ซึ่ง SAP Java Platform เป็นเทคโนโลยีขั้นพื้นฐานที่สุดสำหรับหลายแอพพลิเคชันบนระบบ SAP ส่งผลให้หลายระบบและหลายองค์ประกอบภายในได้รับผลกระทบจากช่องโหว่ดังกล่าว การตรวจสอบว่าระบบใดจำเป็นต้องแพทช์เพื่ออุดช่องโหว่บ้างจึงเป็นเรื่องที่ยุ่งยากและซับซ้อน

อย่างไรก็ตาม ERPScan ได้ออกเครื่องมือฟรีสำหรับช่วยให้กระบวนการระบุช่องโหว่ของระบบและการแพทช์ทำได้ง่ายยิ่งขึ้น ผู้ที่สนใจสามารถดูรายละเอียดได้ที่ https://erpscan.com/research/free-pentesting-tools-for-sap-and-oracle/

ที่มา: https://www.helpnetsecurity.com/2016/05/11/sap-vulnerability-exploited/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] Next Gen Data Center: มารู้จักกับเทคโนโลยีใหม่ Edge Data Center จาก Kanoksin Export Import ด้วยผู้นำเทคโนโลยีจาก RITTAL

Edge Data Center ออกแบบมาเพื่อ “ปกป้องธุรกิจ” “ลดต้นทุน” “จ่ายเท่าที่ใช้” เพราะ “Data Center เป็นหัวใจสำคัญในการขับเคลื่อนธุรกิจ”

ฟรีคอร์สออนไลน์ Ethical Hacking: Hacking the Internet of Things (IoT)

Pluralsight ศูนย์รวมคอร์สออนไลน์ทางด้านเทคโนโลยี เปิดคอร์สอบรมเรื่อง Ethical Hacking: Hacking the Internet of Things (IoT) เพื่อเสริมความรู้และทักษะทางด้านความมั่นคงปลอดภัยของ Internet of Things …