พบช่องโหว่หลายรายการบน SAP HANA และ SAP TREX ลูกค้ากว่า 10,000 รายตกอยู่ในความเสี่ยง

Onapsis บริษัทที่ปรึกษาด้านความมั่นคงปลอดภัยระบบ SAP ออก Security Advisories ใหม่ ระบุช่องโหว่ความรุนแรงสูงหลายรายการบน SAP HANA และ SAP TREX เช่น ช่องโหว่ที่ช่วยให้ได้สิทธิ์ใช้งานระดับสูง ซึ่งช่วยให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงข้อมูลเชิงธุรกิจหรือเปลี่ยนแปลงข้อมูลในฐานข้อมูลได้โดยไม่ได้รับอนุญาต

ttt_sap_bug

ช่องโหว่ที่ค้นพบบน SAP HANA

ความเสี่ยงระดับวิกฤต

  • SAP HANA SYSTEM User Brute Force Attack: แฮ็คเกอร์สามารถได้รับสิทธิ์ระดับสูงบนระบบ HANA โดยไม่จำเป็นต้องพิสูจน์ตัวตน ส่งผลให้สามารถเข้าถึงข้อมูลเชิงธุรกิจที่สำคัญโดยไม่ได้รับอนุญาตได้

ความเสี่ยงระดับสูง

  • SAP HANA Arbitrary Audit Injection via HTTP Requests: แฮ็คเกอร์สามารถปรับแต่ง Audit Log ส่งผลให้สามารถซ่อนหลักฐานในการโจมตีระบบ HANA ได้
  • SAP HANA Arbitrary Audit Injection via SQL Protocol: แฮ็คเกอร์สามารถปรับแต่ง Audit Log ส่งผลให้สามารถซ่อนหลักฐานในการโจมตีระบบ HANA ได้
  • SAP HANA Potential Remote Code Execution: แฮ็คเกอร์สามารถเข้าถึงและเปลี่ยนแปลงข้อมูล Index ของระบบ SAP ได้โดยไม่จำเป็นต้องพิสูจน์ตัวตนก่อน

ช่องโหว่ที่ค้นพบบน SAP TREX

ความรุนแรงระดับวิกฤต

  • SAP TREX Remote Command Execution: แฮ็คเกอร์สามารถเข้าถึงและเปลี่ยนแปลงข้อมูล Index บนระบบ SAP ได้โดยไม่จำเป็นต้องพิสูจน์ตัวตนก่อน

ความรุนแรงระดับสูง

  • SAP TREX Arbitrary File Write: แฮ็คเกอร์สามารถเปลี่ยนแปลงข้อมูล Index บนระบบ SAP ได้โดยไม่จำเป็นต้องพิสูจน์ตัวตนก่อน
  • SAP TREX Remote Directory Traversal: แฮ็คเกอร์สามารถเข้าถึงข้อมูลเชิงธุรกิจบนระบบ SAP ได้โดยไม่จำเป็นต้องพิสูจน์ตัวตนก่อน
  • SAP TREX Remote File Read: แฮ็คเกอร์สามารถเข้าถึงข้อมูลเชิงธุรกิจบนระบบ SAP ได้โดยไม่จำเป็นต้องพิสูจน์ตัวตนก่อน

รายละเอียดช่องโหว่ทั้งหมดสามารถดูได้ที่ http://www.onapsis.com/research/security-advisories



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Cisco เพิ่มความสามารถให้ Network Insights ยกระดับการป้องกันปัญหาแบบ Proactive

Cisco ได้เเผยความสามารถใหม่ในฟังก์ชัน Network Insights ใน Data Center Network Assurance ให้สามารถรวบรวมข้อมูลในเครือข่าย แจ้งเตือน และระบุปัญหา ได้ก่อนเกิดเหตุ

Cisco แพตช์ช่องโหว่ร้ายแรงใน Firepower Management และผลิตภัณฑ์อื่นกว่า 26 รายการแนะผู้ใช้เร่งอัปเดต

Cisco ได้ประกาศ Advisory สำหรับช่องโหว่ต่างๆ กว่า 27 รายการ โดยมีช่องโหว่ร้ายแรง 1 รายการกระทบกับซอฟต์แวร์ Firepower Management Center จึงแนะนำให้ผู้ใช้งานเร่งอัปเดตครับ