TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Onapsis บริษัทที่ปรึกษาด้านความมั่นคงปลอดภัยระบบ SAP ออก Security Advisories ใหม่ ระบุช่องโหว่ความรุนแรงสูงหลายรายการบน SAP HANA และ SAP TREX เช่น ช่องโหว่ที่ช่วยให้ได้สิทธิ์ใช้งานระดับสูง ซึ่งช่วยให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงข้อมูลเชิงธุรกิจหรือเปลี่ยนแปลงข้อมูลในฐานข้อมูลได้โดยไม่ได้รับอนุญาต
ช่องโหว่ที่ค้นพบบน SAP HANA
ความเสี่ยงระดับวิกฤต
- SAP HANA SYSTEM User Brute Force Attack: แฮ็คเกอร์สามารถได้รับสิทธิ์ระดับสูงบนระบบ HANA โดยไม่จำเป็นต้องพิสูจน์ตัวตน ส่งผลให้สามารถเข้าถึงข้อมูลเชิงธุรกิจที่สำคัญโดยไม่ได้รับอนุญาตได้
ความเสี่ยงระดับสูง
- SAP HANA Arbitrary Audit Injection via HTTP Requests: แฮ็คเกอร์สามารถปรับแต่ง Audit Log ส่งผลให้สามารถซ่อนหลักฐานในการโจมตีระบบ HANA ได้
- SAP HANA Arbitrary Audit Injection via SQL Protocol: แฮ็คเกอร์สามารถปรับแต่ง Audit Log ส่งผลให้สามารถซ่อนหลักฐานในการโจมตีระบบ HANA ได้
- SAP HANA Potential Remote Code Execution: แฮ็คเกอร์สามารถเข้าถึงและเปลี่ยนแปลงข้อมูล Index ของระบบ SAP ได้โดยไม่จำเป็นต้องพิสูจน์ตัวตนก่อน
ช่องโหว่ที่ค้นพบบน SAP TREX
ความรุนแรงระดับวิกฤต
- SAP TREX Remote Command Execution: แฮ็คเกอร์สามารถเข้าถึงและเปลี่ยนแปลงข้อมูล Index บนระบบ SAP ได้โดยไม่จำเป็นต้องพิสูจน์ตัวตนก่อน
ความรุนแรงระดับสูง
- SAP TREX Arbitrary File Write: แฮ็คเกอร์สามารถเปลี่ยนแปลงข้อมูล Index บนระบบ SAP ได้โดยไม่จำเป็นต้องพิสูจน์ตัวตนก่อน
- SAP TREX Remote Directory Traversal: แฮ็คเกอร์สามารถเข้าถึงข้อมูลเชิงธุรกิจบนระบบ SAP ได้โดยไม่จำเป็นต้องพิสูจน์ตัวตนก่อน
- SAP TREX Remote File Read: แฮ็คเกอร์สามารถเข้าถึงข้อมูลเชิงธุรกิจบนระบบ SAP ได้โดยไม่จำเป็นต้องพิสูจน์ตัวตนก่อน
รายละเอียดช่องโหว่ทั้งหมดสามารถดูได้ที่ http://www.onapsis.com/research/security-advisories
