ADPT

US-CERT เตือน ช่องโหว่ SAP เมื่อ 5 ปีก่อนกลับมาหลอกหลอนอีกครั้ง

US-CERT ศูนย์เฝ้าระวังภัยคุกคามของสหรัฐฯ ออกมาแจ้งเตือนผู้ใช้บริการระบบ SAP ถึงช่องโหว่เก่าเมื่อ 5 ปีก่อนที่หลายบริษัทอัพเดทแพทช์ไม่ดีเพียงพอ ส่งผลให้แฮ็คเกอร์สามารถเจาะระบบเพื่อเข้าควบคุมระบบ SAP ขององค์กรได้ทันที ที่สำคัญคือ ขณะนี้เกิดการโจมตีบริษัทยักษ์ใหญ่ทั่วโลกผ่านช่องโหว่นี้

ttt_sap_bug

36 บริษัทขนาดใหญ่ทั่วโลกตกเป็นเป้าหมาย

Onapsis บริษัทที่ปรึกษาด้านความมั่นคงปลอดภัยระบบ SAP ระบุว่า มีอย่างน้อย 36 องค์กรจากสหรัฐฯ สหราชอาณาจักร เยอรมนี จีน อินเดีย ญี่ปุ่น และเกาหลีใต้ ที่ถูกเจาะระบบผ่านทางช่องโหว่ดังกล่าวตลอดระยะเวลา 3 ปี ตั้งแต่ปี 2013 – 2016 โดยการโจมตีทั้งหมดถูกเปิดเผยบน Digital Forum แห่งหนึ่งที่ลงทะเบียนภายใต้ประเทศจีน

“ต้นปี 2016 ที่ผ่านมา เราเริ่มตระหนักถึงปัญหาช่องโหว่บน SAP หลังจากที่เราได้เห็นผลลัพธ์ของการสแกนโดยใช้ Onapsis Security Platform กับลูกค้าที่ใช้ระบบ SAP และจากการทำ SAP Forensices & Incident Response ทีมนักวิจัยของเราจึงตัดสินใจที่จะขุดลงไปในปัญหาดังกล่าวให้ลึกขึ้น แล้วก็พบว่าปัญหาช่องโหว่ SAP นี้ปรากฏบน Digital Forum มานานหลายปีแล้ว” — Onapsis ระบุ

ช่องโหว่อายุนานกว่า 5 ปี

ช่องโหว่หลักที่แฮ็คเกอร์ใช้เจาะระบบถูกระบุว่าเป็นช่องโหว่บน “Invoker Servlet” องค์ประกอบหนึ่งของ NetWeaver Application Server Java Systems (SAP Java Platform) ซึ่ง SAP ได้ออกแพทช์เพื่ออุดช่องโหว่นี้ตั้งแต่ปี 2010 แฮ็คเกอร์สามารถใช้ช่องโหว่บน Invoker Servlet เพื่อเข้าถึงระบบ SAP จากระยะไกลโดยได้สิทธิ์ระดับ Admin ได้ทันที

“แฮ็คเกอร์สามารถโจมตีช่องโหว่ผ่านทาง HTTP(S) โดยไม่จำเป็นต้องพิสูจน์ตัวตนผ่านระบบ SAP แต่อย่างใด แฮ็คเกอร์เพียงแค่ใช้เว็บเบราเซอร์และชื่อโดเมน ชื่อโฮสต์ หรือหมายเลข IP ของระบบ SAP เป้าหมายเท่านั้น” — Onapsis อธิบาย

US-CERT แนะนำให้ผู้ใช้และผู้ดูแลระบบทุกคนแก้ปัญหาตาม SAP Security Note 1445998 และยกเลิกการใช้ Invoker Servlet

แพทช์ยากเกินไป หลายบริษัทยังคงมีช่องโหว่

ERPScan ระบุว่า ช่องโหว่บน Invoker Servlet กระทบแอพพลิเคชันที่รันบน SAP Java Platform ทั้งหมด ซึ่ง SAP Java Platform เป็นเทคโนโลยีขั้นพื้นฐานที่สุดสำหรับหลายแอพพลิเคชันบนระบบ SAP ส่งผลให้หลายระบบและหลายองค์ประกอบภายในได้รับผลกระทบจากช่องโหว่ดังกล่าว การตรวจสอบว่าระบบใดจำเป็นต้องแพทช์เพื่ออุดช่องโหว่บ้างจึงเป็นเรื่องที่ยุ่งยากและซับซ้อน

อย่างไรก็ตาม ERPScan ได้ออกเครื่องมือฟรีสำหรับช่วยให้กระบวนการระบุช่องโหว่ของระบบและการแพทช์ทำได้ง่ายยิ่งขึ้น ผู้ที่สนใจสามารถดูรายละเอียดได้ที่ https://erpscan.com/research/free-pentesting-tools-for-sap-and-oracle/

ที่มา: https://www.helpnetsecurity.com/2016/05/11/sap-vulnerability-exploited/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เริ่มก้าวแรกกับการพัฒนานวัตกรรม IoT ในองค์กรอย่างง่ายดายและมั่นใจ ด้วยโซลูชันจาก Microsoft Azure และ AIS Business

เพื่อช่วยให้ธุรกิจองค์กรไทยสามารถเร่งสร้างนวัตกรรมด้าน IoT แข่งขันกับตลาดระดับโลกได้อย่างรวดเร็ว ทาง AIS Business จึงได้จับมือกับ Microsoft นำเสนอโซลูชันทางด้านเทคโนโลยี IoT โดยเฉพาะร่วมกัน ให้ธุรกิจมุ่งเน้นกับการสร้าง Use Case ใหม่ๆ ในอุตสาหกรรมของตนเอง โดยสามารถวางใจให้ AIS Business และ Microsoft นั้นช่วยดูแลในส่วนของเทคโนโลยีเบื้องหลังได้อย่างมั่นใจ

Comarch Wealth Management: Software สำหรับทีมที่ปรึกษาทางการเงินของธนาคาร ช่วยบริหารความมั่งคั่งให้กับลูกค้าได้ด้วยข้อมูลและ AI

Comarch Wealth Management เป็น Software กึ่งสำเร็จรูปที่จะช่วยให้ธนาคารมีระบบกลางสำหรับการวางแผนทางการเงิน ที่ที่ปรึกษาทางการเงินของธนาคารนั้นจะสามารถเข้าถึงข้อมูลของลูกค้าและช่วยวางแผนจัดแพ็คเกจต่างๆ ให้เหมาะสมได้ด้วยข้อมูลและ AI ในขณะที่ลูกค้าของธนาคารเองก็สามารถเข้ามาวางแผนด้วยตนเองได้แบบ Self-Service พร้อมช่วยให้ที่ปรึกษาทางการเงินและลูกค้าสามารถพูดคุยสื่อสารกันได้อย่างสะดวก ทำให้ธนาคารสามารถปิดการขายด้านการลงทุนและการออมให้กับลูกค้าแต่ละรายได้อย่างเหมาะสม แม้จะไม่สามารถพบเจอกันโดยตรงได้