พบช่องโหว่หลายรายการบน SAP HANA และ SAP TREX ลูกค้ากว่า 10,000 รายตกอยู่ในความเสี่ยง

Onapsis บริษัทที่ปรึกษาด้านความมั่นคงปลอดภัยระบบ SAP ออก Security Advisories ใหม่ ระบุช่องโหว่ความรุนแรงสูงหลายรายการบน SAP HANA และ SAP TREX เช่น ช่องโหว่ที่ช่วยให้ได้สิทธิ์ใช้งานระดับสูง ซึ่งช่วยให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงข้อมูลเชิงธุรกิจหรือเปลี่ยนแปลงข้อมูลในฐานข้อมูลได้โดยไม่ได้รับอนุญาต

ttt_sap_bug

ช่องโหว่ที่ค้นพบบน SAP HANA

ความเสี่ยงระดับวิกฤต

  • SAP HANA SYSTEM User Brute Force Attack: แฮ็คเกอร์สามารถได้รับสิทธิ์ระดับสูงบนระบบ HANA โดยไม่จำเป็นต้องพิสูจน์ตัวตน ส่งผลให้สามารถเข้าถึงข้อมูลเชิงธุรกิจที่สำคัญโดยไม่ได้รับอนุญาตได้

ความเสี่ยงระดับสูง

  • SAP HANA Arbitrary Audit Injection via HTTP Requests: แฮ็คเกอร์สามารถปรับแต่ง Audit Log ส่งผลให้สามารถซ่อนหลักฐานในการโจมตีระบบ HANA ได้
  • SAP HANA Arbitrary Audit Injection via SQL Protocol: แฮ็คเกอร์สามารถปรับแต่ง Audit Log ส่งผลให้สามารถซ่อนหลักฐานในการโจมตีระบบ HANA ได้
  • SAP HANA Potential Remote Code Execution: แฮ็คเกอร์สามารถเข้าถึงและเปลี่ยนแปลงข้อมูล Index ของระบบ SAP ได้โดยไม่จำเป็นต้องพิสูจน์ตัวตนก่อน

ช่องโหว่ที่ค้นพบบน SAP TREX

ความรุนแรงระดับวิกฤต

  • SAP TREX Remote Command Execution: แฮ็คเกอร์สามารถเข้าถึงและเปลี่ยนแปลงข้อมูล Index บนระบบ SAP ได้โดยไม่จำเป็นต้องพิสูจน์ตัวตนก่อน

ความรุนแรงระดับสูง

  • SAP TREX Arbitrary File Write: แฮ็คเกอร์สามารถเปลี่ยนแปลงข้อมูล Index บนระบบ SAP ได้โดยไม่จำเป็นต้องพิสูจน์ตัวตนก่อน
  • SAP TREX Remote Directory Traversal: แฮ็คเกอร์สามารถเข้าถึงข้อมูลเชิงธุรกิจบนระบบ SAP ได้โดยไม่จำเป็นต้องพิสูจน์ตัวตนก่อน
  • SAP TREX Remote File Read: แฮ็คเกอร์สามารถเข้าถึงข้อมูลเชิงธุรกิจบนระบบ SAP ได้โดยไม่จำเป็นต้องพิสูจน์ตัวตนก่อน

รายละเอียดช่องโหว่ทั้งหมดสามารถดูได้ที่ http://www.onapsis.com/research/security-advisories


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tenable เปิดตัวความสามารถใหม่ ตรวจจับอุปกรณ์แปลกปลอมที่ถูกติดตั้งในเครือข่ายและบน Cloud ได้อัตโนมัติ

Tenable ผู้นำด้าน Cyber Exposure ได้ออกมาประกาศเปิดตัวถึงความสามารถใหม่ ที่จะช่วยให้ Tenable.sc และ Tenable.io สามารถตรวจจับอุปกรณ์แปลกปลอมที่ถูกนำมาติดตั้งได้โดยอัตโนมัติ ไม่ว่าจะเป็นภายในระบบเครือข่ายของธุรกิจองค์กรหรือบน Cloud และทำให้ฝ่าย Security ของธุรกิจองค์กรนั้นสามารถทำการตรวจสอบเชิงลึกไปยังอุปกรณ์เหล่านั้นได้ทันที โดยมีต้องมีค่าใช้จ่ายใดๆ เพิ่มเติม

Tenable ขึ้นแท่นผู้นำด้าน Vulnerability Management สามารถตรววจหาช่องโหว่และการตั้งค่าที่ไม่ปลอดภัยได้มากกว่าคู่แข่งรายอื่น

Tenable ได้ออกมาประกาศถึงผลการวิเคราะห์จาก Principled Technologies ที่ได้ทำการเปรียบเทียบผู้ผลิตโซลูชันทางด้าน Vulnerability Management 3 ราย ได้แก่ Tenable, Rapid7 และ Qualys ซึ่งพบว่า Tenable นั้นรองรับการตรวจสอบช่องโหว่ตาม CVE ได้มากกว่าคู่แข่งถึง 22% และยังตรวจสอบความปลอดภัยในการตั้งค่าได้มากกว่าคู่แข่งถึงเกือบ 3 เท่าเลยทีเดียว