Breaking News

พบช่องโหว่หลายรายการบน SAP HANA และ SAP TREX ลูกค้ากว่า 10,000 รายตกอยู่ในความเสี่ยง

Onapsis บริษัทที่ปรึกษาด้านความมั่นคงปลอดภัยระบบ SAP ออก Security Advisories ใหม่ ระบุช่องโหว่ความรุนแรงสูงหลายรายการบน SAP HANA และ SAP TREX เช่น ช่องโหว่ที่ช่วยให้ได้สิทธิ์ใช้งานระดับสูง ซึ่งช่วยให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงข้อมูลเชิงธุรกิจหรือเปลี่ยนแปลงข้อมูลในฐานข้อมูลได้โดยไม่ได้รับอนุญาต

ttt_sap_bug

ช่องโหว่ที่ค้นพบบน SAP HANA

ความเสี่ยงระดับวิกฤต

  • SAP HANA SYSTEM User Brute Force Attack: แฮ็คเกอร์สามารถได้รับสิทธิ์ระดับสูงบนระบบ HANA โดยไม่จำเป็นต้องพิสูจน์ตัวตน ส่งผลให้สามารถเข้าถึงข้อมูลเชิงธุรกิจที่สำคัญโดยไม่ได้รับอนุญาตได้

ความเสี่ยงระดับสูง

  • SAP HANA Arbitrary Audit Injection via HTTP Requests: แฮ็คเกอร์สามารถปรับแต่ง Audit Log ส่งผลให้สามารถซ่อนหลักฐานในการโจมตีระบบ HANA ได้
  • SAP HANA Arbitrary Audit Injection via SQL Protocol: แฮ็คเกอร์สามารถปรับแต่ง Audit Log ส่งผลให้สามารถซ่อนหลักฐานในการโจมตีระบบ HANA ได้
  • SAP HANA Potential Remote Code Execution: แฮ็คเกอร์สามารถเข้าถึงและเปลี่ยนแปลงข้อมูล Index ของระบบ SAP ได้โดยไม่จำเป็นต้องพิสูจน์ตัวตนก่อน

ช่องโหว่ที่ค้นพบบน SAP TREX

ความรุนแรงระดับวิกฤต

  • SAP TREX Remote Command Execution: แฮ็คเกอร์สามารถเข้าถึงและเปลี่ยนแปลงข้อมูล Index บนระบบ SAP ได้โดยไม่จำเป็นต้องพิสูจน์ตัวตนก่อน

ความรุนแรงระดับสูง

  • SAP TREX Arbitrary File Write: แฮ็คเกอร์สามารถเปลี่ยนแปลงข้อมูล Index บนระบบ SAP ได้โดยไม่จำเป็นต้องพิสูจน์ตัวตนก่อน
  • SAP TREX Remote Directory Traversal: แฮ็คเกอร์สามารถเข้าถึงข้อมูลเชิงธุรกิจบนระบบ SAP ได้โดยไม่จำเป็นต้องพิสูจน์ตัวตนก่อน
  • SAP TREX Remote File Read: แฮ็คเกอร์สามารถเข้าถึงข้อมูลเชิงธุรกิจบนระบบ SAP ได้โดยไม่จำเป็นต้องพิสูจน์ตัวตนก่อน

รายละเอียดช่องโหว่ทั้งหมดสามารถดูได้ที่ http://www.onapsis.com/research/security-advisories



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

รู้จัก IBM AI Quality Inspection ตรวจสอบคุณภาพสินค้าในสายการผลิตได้ด้วย AI

การตรวจสอบคุณภาพสินค้าในสายการผลิตนั้นถือเป็นงานสำคัญที่ธุรกิจโรงงานและการผลิตจะขาดไปไม่ได้เลย แต่งานนี้ก็เป็นงานที่ต้องใช้แรงงานของบุคลากรเป็นจำนวนมาก อีกทั้งยังเป็นงานที่ต้องใช้สมาธิและอาจเกิดความผิดพลาดได้ จึงไม่ใช่เรื่องง่ายที่การควบคุมคุณภาพสินค้าจะสามารถเป็นไปได้อย่างมีประสิทธิภาพและมีต้นทุนที่ต่ำในเวลาเดียวกัน อย่างไรก็ดี ด้วยการมาของเทคโนโลยี AI ก็ทำให้การควบคุมตรวจสอบคุณภาพสินค้านั้นกลายเป็นเรื่องที่ง่ายดายและเป็นอัตโนมัติได้มากขึ้น ในบทความนี้เราจะพาทุกท่านไปรู้จักกับโซลูชัน IBM AI Quality Inspection ที่จะช่วยให้ธุรกิจโรงงานและการผลิตสามารถสร้าง AI …

Google Cloud ออก ‘Confidential VM’ สามารถเข้ารหัสข้อมูลในหน่วยความจำ

Google Cloud ได้ประกาศ VM แบบใหม่ ที่สามารถเข้ารหัสข้อมูลแม้จะอยู่ในหน่วยความจำ ทั้งนี้อาศัยฟีเจอร์ Secure Encrypted Virtualization ใน 2nd Gen EPYC ของ …