พบช่องโหว่หลายรายการบน SAP HANA และ SAP TREX ลูกค้ากว่า 10,000 รายตกอยู่ในความเสี่ยง

Onapsis บริษัทที่ปรึกษาด้านความมั่นคงปลอดภัยระบบ SAP ออก Security Advisories ใหม่ ระบุช่องโหว่ความรุนแรงสูงหลายรายการบน SAP HANA และ SAP TREX เช่น ช่องโหว่ที่ช่วยให้ได้สิทธิ์ใช้งานระดับสูง ซึ่งช่วยให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงข้อมูลเชิงธุรกิจหรือเปลี่ยนแปลงข้อมูลในฐานข้อมูลได้โดยไม่ได้รับอนุญาต

ttt_sap_bug

ช่องโหว่ที่ค้นพบบน SAP HANA

ความเสี่ยงระดับวิกฤต

  • SAP HANA SYSTEM User Brute Force Attack: แฮ็คเกอร์สามารถได้รับสิทธิ์ระดับสูงบนระบบ HANA โดยไม่จำเป็นต้องพิสูจน์ตัวตน ส่งผลให้สามารถเข้าถึงข้อมูลเชิงธุรกิจที่สำคัญโดยไม่ได้รับอนุญาตได้

ความเสี่ยงระดับสูง

  • SAP HANA Arbitrary Audit Injection via HTTP Requests: แฮ็คเกอร์สามารถปรับแต่ง Audit Log ส่งผลให้สามารถซ่อนหลักฐานในการโจมตีระบบ HANA ได้
  • SAP HANA Arbitrary Audit Injection via SQL Protocol: แฮ็คเกอร์สามารถปรับแต่ง Audit Log ส่งผลให้สามารถซ่อนหลักฐานในการโจมตีระบบ HANA ได้
  • SAP HANA Potential Remote Code Execution: แฮ็คเกอร์สามารถเข้าถึงและเปลี่ยนแปลงข้อมูล Index ของระบบ SAP ได้โดยไม่จำเป็นต้องพิสูจน์ตัวตนก่อน

ช่องโหว่ที่ค้นพบบน SAP TREX

ความรุนแรงระดับวิกฤต

  • SAP TREX Remote Command Execution: แฮ็คเกอร์สามารถเข้าถึงและเปลี่ยนแปลงข้อมูล Index บนระบบ SAP ได้โดยไม่จำเป็นต้องพิสูจน์ตัวตนก่อน

ความรุนแรงระดับสูง

  • SAP TREX Arbitrary File Write: แฮ็คเกอร์สามารถเปลี่ยนแปลงข้อมูล Index บนระบบ SAP ได้โดยไม่จำเป็นต้องพิสูจน์ตัวตนก่อน
  • SAP TREX Remote Directory Traversal: แฮ็คเกอร์สามารถเข้าถึงข้อมูลเชิงธุรกิจบนระบบ SAP ได้โดยไม่จำเป็นต้องพิสูจน์ตัวตนก่อน
  • SAP TREX Remote File Read: แฮ็คเกอร์สามารถเข้าถึงข้อมูลเชิงธุรกิจบนระบบ SAP ได้โดยไม่จำเป็นต้องพิสูจน์ตัวตนก่อน

รายละเอียดช่องโหว่ทั้งหมดสามารถดูได้ที่ http://www.onapsis.com/research/security-advisories


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Red x Blue Pill 2022 โดย 2600 Thailand เปิดให้ซื้อบัตรเข้าร่วมงานแล้ว

2600 Thailand ประกาศจัดงานสัมมนาแบบพบหน้า Red x Blue Pill 2022 ซึ่งเป็นงานสัมมนาที่ได้รับการกล่าวขานว่า “เจาะลึก” ด้าน Computer Security ที่สุดในประเทศไทย โดยรวบรวมเนื้อหาทั้งด้าน …

[Guest Post] มหาวิทยาลัยสุโขทัยธรรมาธิราชเลือก AWS เป็นผู้ให้บริการระบบคลาวด์เชิงกลยุทธ์ มุ่งสู่การเป็นมหาวิทยาลัยดิจิทัล

หนึ่งในมหาวิทยาลัยเปิดชั้นนําของประเทศไทย ให้บริการด้านการศึกษาแบบออนไลน์แก่ผู้เรียน 200,000 คน ในช่วงเวลา 2 ปี ใน 64 ประเทศด้วย AWS