พบช่องโหว่ Zero-day บน SAP HANA เสี่ยงถูกเข้าควบคุมแบบ Full Access

Onapsis บริษัทที่ปรึกษาด้านความมั่นคงปลอดภัยระบบ SAP ออกมาเปิดเผยถึงช่องโหว่ Zero-day ความเสี่ยงสูงบนแพลตฟอร์ม SAP HANA ซึ่งช่วยให้แฮ็คเกอร์สามารถเข้าควบคุม SAP HANA จากระยะไกลโดยไม่จำเป็นต้องพิสูจน์ตัวตนก่อนได้ แนะนำให้ผู้ดูแลระบบ SAP HANA รีบอัปเดตแพทช์โดยเร็ว

Credit: Pavel Ignatov/ShutterStock

Sebastian Bortnik หัวหน้าทีมวิจัยของ Onapsis ระบุใน Blog เกี่ยวกับช่องโหว่ดังกล่าวว่า การเจาะช่องโหว่เพื่อเข้าควบคุมระบบ SAP HANA นี้ช่วยให้แฮ็คเกอร์สามารถดำเนินกิจกรรมได้ทุกอย่างบนข้อมูลและกระบวนการเชิงธุรกิจของ SAP HANA ไม่ว่าจะเป็นการขโมยข้อมูลออกมาจากระบบ การเปลี่ยนแปลง แก้ไข หรือลบข้อมูลทิ้ง เรียกได้ว่าเป็นช่องโหว่ความรุนแรงระดับ Critical ที่ส่งผลกระทบต่อธุรกิจอย่างใหญ่หลวง

ช่องโหว่นี้ค้นพบบนฟีเจอร์ของ SAP HANA ที่ชื่อว่า SAP HANA User Self Service ซึ่งเป็นฟีเจอร์ที่ไม่ได้เปิดใช้งานมาตั้งแต่เริ่มแรก ผู้ใช้ต้องเปิดใช้งานเอง โดยเวอร์ชันของ SAP HANA ที่ได้รับผลกระทบ ได้แก่

  • SAP HANA SPS 12 (newDB rel 1.00.121.00.1466466057)
  • SAP HANA 2 SPS0 (newDB rel 2.00.000.00.1479874437)
  • SAP HANA SPS11 (1.00.110.144775) ออกเมื่อเดือนพฤศจิการยน 2015
  • SAP HANA SPS10 (1.00.101.00.1435831848) ออกเมื่อเดือนมิถุนายน 2015
  • SAP HANA SPS09 (1.00.91.1418659308) ออกเมื่อเดือนพฤศจิการยน 2014

Onapsis ระบุว่า ช่องโหว่ดังกล่าวคาดว่ามีมาแล้วไม่ต่ำกว่า 2 ปีครึ่งนับตั้งแต่เริ่มมีฟีเจอร์ User Self Service ให้บริการ โดยค้นพบช่องโหว่ทั้งบน SAP HANA 2 เวอร์ชันใหม่ล่าสุด ไปจนถึง SAP HANA เวอร์ชันปี 2014 ซึ่งแนะนำให้ผู้ใช้ SAP HANA ตรวจสอบว่าบริษัทของตนเปิดใช้ฟีเจอร์ที่มีช่องโหว่หรือไม่ ถ้าเปิดใช้ทำงานให้รีบอัปเดตแพทช์ตาม SAP Security Note #2424173 หัวข้อ “Vulnerabilities in the User Self-Service Tools of SAP HANA” และ Security Note #2429069 โดยเร็ว

ที่มา: https://www.onapsis.com/blog/sap-security-notes-march-2017-onapsis-helps-secure-critical-bugs-sap-hana



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[PCI Community Meeting 2017] สรุป Keynote Session วันที่ 2 โดย ดร. ชาลี วรกุลพิพัฒน์ จาก NECTEC

บทความนี้เป็นสรุปเซสชัน Keynote ในงาน PCI Community Meeting 2017 ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา ในหัวข้อ “Security Awareness, Policies, Practices and Challenges” …

Microsoft เตรียมออก Windows 10 เวอร์ชันสุดพิเศษ สำหรับรัฐบาลจีนโดยเฉพาะ

หลังจากที่รัฐบาลจีนออกมาประกาศแบนระบบปฏิบัติการ Windows ในปี 2014 เนื่องจากกลัวว่าบริษัทเทคโนโลยียักษ์ใหญ่ของสหรัฐฯ จะร่วมมือกับรัฐบาลในการแอบสอดแนมหรือดักฟังข้อมูลของรัฐบาลจีน จนถึงขั้นต้องปรับแต่ง Windows XP และ Ubuntu ใช้กันเองมาแล้ว ล่าสุด เพื่อที่จะเจาะเข้าตลาดที่ใหญ่ที่สุดในโลกได้ Microsoft …