US-CERT เตือน ช่องโหว่ SAP เมื่อ 5 ปีก่อนกลับมาหลอกหลอนอีกครั้ง

US-CERT ศูนย์เฝ้าระวังภัยคุกคามของสหรัฐฯ ออกมาแจ้งเตือนผู้ใช้บริการระบบ SAP ถึงช่องโหว่เก่าเมื่อ 5 ปีก่อนที่หลายบริษัทอัพเดทแพทช์ไม่ดีเพียงพอ ส่งผลให้แฮ็คเกอร์สามารถเจาะระบบเพื่อเข้าควบคุมระบบ SAP ขององค์กรได้ทันที ที่สำคัญคือ ขณะนี้เกิดการโจมตีบริษัทยักษ์ใหญ่ทั่วโลกผ่านช่องโหว่นี้

ttt_sap_bug

36 บริษัทขนาดใหญ่ทั่วโลกตกเป็นเป้าหมาย

Onapsis บริษัทที่ปรึกษาด้านความมั่นคงปลอดภัยระบบ SAP ระบุว่า มีอย่างน้อย 36 องค์กรจากสหรัฐฯ สหราชอาณาจักร เยอรมนี จีน อินเดีย ญี่ปุ่น และเกาหลีใต้ ที่ถูกเจาะระบบผ่านทางช่องโหว่ดังกล่าวตลอดระยะเวลา 3 ปี ตั้งแต่ปี 2013 – 2016 โดยการโจมตีทั้งหมดถูกเปิดเผยบน Digital Forum แห่งหนึ่งที่ลงทะเบียนภายใต้ประเทศจีน

“ต้นปี 2016 ที่ผ่านมา เราเริ่มตระหนักถึงปัญหาช่องโหว่บน SAP หลังจากที่เราได้เห็นผลลัพธ์ของการสแกนโดยใช้ Onapsis Security Platform กับลูกค้าที่ใช้ระบบ SAP และจากการทำ SAP Forensices & Incident Response ทีมนักวิจัยของเราจึงตัดสินใจที่จะขุดลงไปในปัญหาดังกล่าวให้ลึกขึ้น แล้วก็พบว่าปัญหาช่องโหว่ SAP นี้ปรากฏบน Digital Forum มานานหลายปีแล้ว” — Onapsis ระบุ

ช่องโหว่อายุนานกว่า 5 ปี

ช่องโหว่หลักที่แฮ็คเกอร์ใช้เจาะระบบถูกระบุว่าเป็นช่องโหว่บน “Invoker Servlet” องค์ประกอบหนึ่งของ NetWeaver Application Server Java Systems (SAP Java Platform) ซึ่ง SAP ได้ออกแพทช์เพื่ออุดช่องโหว่นี้ตั้งแต่ปี 2010 แฮ็คเกอร์สามารถใช้ช่องโหว่บน Invoker Servlet เพื่อเข้าถึงระบบ SAP จากระยะไกลโดยได้สิทธิ์ระดับ Admin ได้ทันที

“แฮ็คเกอร์สามารถโจมตีช่องโหว่ผ่านทาง HTTP(S) โดยไม่จำเป็นต้องพิสูจน์ตัวตนผ่านระบบ SAP แต่อย่างใด แฮ็คเกอร์เพียงแค่ใช้เว็บเบราเซอร์และชื่อโดเมน ชื่อโฮสต์ หรือหมายเลข IP ของระบบ SAP เป้าหมายเท่านั้น” — Onapsis อธิบาย

US-CERT แนะนำให้ผู้ใช้และผู้ดูแลระบบทุกคนแก้ปัญหาตาม SAP Security Note 1445998 และยกเลิกการใช้ Invoker Servlet

แพทช์ยากเกินไป หลายบริษัทยังคงมีช่องโหว่

ERPScan ระบุว่า ช่องโหว่บน Invoker Servlet กระทบแอพพลิเคชันที่รันบน SAP Java Platform ทั้งหมด ซึ่ง SAP Java Platform เป็นเทคโนโลยีขั้นพื้นฐานที่สุดสำหรับหลายแอพพลิเคชันบนระบบ SAP ส่งผลให้หลายระบบและหลายองค์ประกอบภายในได้รับผลกระทบจากช่องโหว่ดังกล่าว การตรวจสอบว่าระบบใดจำเป็นต้องแพทช์เพื่ออุดช่องโหว่บ้างจึงเป็นเรื่องที่ยุ่งยากและซับซ้อน

อย่างไรก็ตาม ERPScan ได้ออกเครื่องมือฟรีสำหรับช่วยให้กระบวนการระบุช่องโหว่ของระบบและการแพทช์ทำได้ง่ายยิ่งขึ้น ผู้ที่สนใจสามารถดูรายละเอียดได้ที่ https://erpscan.com/research/free-pentesting-tools-for-sap-and-oracle/

ที่มา: https://www.helpnetsecurity.com/2016/05/11/sap-vulnerability-exploited/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

สู่ยุค Computational SSD: นำ Azure IoT Edge มาทำงานด้วยหน่วยประมวลผลบน SSD

หลังจากที่ปีที่แล้วแนวคิดด้าน Computational Storage นั้นเริ่มกลายเป็นที่ถูกกล่าวถึงในวงการ Storage ตอนนี้แนวคิดนี้ถูกนำมาสู่ SSD จนกลายเป็น Computational SSD แล้ว

Microsoft ประกาศเปิดตัว Azure Ultra Disk Storage ในสถานะ GA พร้อมใช้งานได้ 1 ต.ค. 2019

Microsoft ได้ออกมาประกาศให้ Azure Ultra Disk Storage บริการ Managed Disks ประสิทธิภาพสูงเข้าสู่สถานะ General Availability หรือ GA แล้ว