พบช่องโหว่ Zero-day บน SAP HANA เสี่ยงถูกเข้าควบคุมแบบ Full Access

Onapsis บริษัทที่ปรึกษาด้านความมั่นคงปลอดภัยระบบ SAP ออกมาเปิดเผยถึงช่องโหว่ Zero-day ความเสี่ยงสูงบนแพลตฟอร์ม SAP HANA ซึ่งช่วยให้แฮ็คเกอร์สามารถเข้าควบคุม SAP HANA จากระยะไกลโดยไม่จำเป็นต้องพิสูจน์ตัวตนก่อนได้ แนะนำให้ผู้ดูแลระบบ SAP HANA รีบอัปเดตแพทช์โดยเร็ว

Credit: Pavel Ignatov/ShutterStock

Sebastian Bortnik หัวหน้าทีมวิจัยของ Onapsis ระบุใน Blog เกี่ยวกับช่องโหว่ดังกล่าวว่า การเจาะช่องโหว่เพื่อเข้าควบคุมระบบ SAP HANA นี้ช่วยให้แฮ็คเกอร์สามารถดำเนินกิจกรรมได้ทุกอย่างบนข้อมูลและกระบวนการเชิงธุรกิจของ SAP HANA ไม่ว่าจะเป็นการขโมยข้อมูลออกมาจากระบบ การเปลี่ยนแปลง แก้ไข หรือลบข้อมูลทิ้ง เรียกได้ว่าเป็นช่องโหว่ความรุนแรงระดับ Critical ที่ส่งผลกระทบต่อธุรกิจอย่างใหญ่หลวง

ช่องโหว่นี้ค้นพบบนฟีเจอร์ของ SAP HANA ที่ชื่อว่า SAP HANA User Self Service ซึ่งเป็นฟีเจอร์ที่ไม่ได้เปิดใช้งานมาตั้งแต่เริ่มแรก ผู้ใช้ต้องเปิดใช้งานเอง โดยเวอร์ชันของ SAP HANA ที่ได้รับผลกระทบ ได้แก่

  • SAP HANA SPS 12 (newDB rel 1.00.121.00.1466466057)
  • SAP HANA 2 SPS0 (newDB rel 2.00.000.00.1479874437)
  • SAP HANA SPS11 (1.00.110.144775) ออกเมื่อเดือนพฤศจิการยน 2015
  • SAP HANA SPS10 (1.00.101.00.1435831848) ออกเมื่อเดือนมิถุนายน 2015
  • SAP HANA SPS09 (1.00.91.1418659308) ออกเมื่อเดือนพฤศจิการยน 2014

Onapsis ระบุว่า ช่องโหว่ดังกล่าวคาดว่ามีมาแล้วไม่ต่ำกว่า 2 ปีครึ่งนับตั้งแต่เริ่มมีฟีเจอร์ User Self Service ให้บริการ โดยค้นพบช่องโหว่ทั้งบน SAP HANA 2 เวอร์ชันใหม่ล่าสุด ไปจนถึง SAP HANA เวอร์ชันปี 2014 ซึ่งแนะนำให้ผู้ใช้ SAP HANA ตรวจสอบว่าบริษัทของตนเปิดใช้ฟีเจอร์ที่มีช่องโหว่หรือไม่ ถ้าเปิดใช้ทำงานให้รีบอัปเดตแพทช์ตาม SAP Security Note #2424173 หัวข้อ “Vulnerabilities in the User Self-Service Tools of SAP HANA” และ Security Note #2429069 โดยเร็ว

ที่มา: https://www.onapsis.com/blog/sap-security-notes-march-2017-onapsis-helps-secure-critical-bugs-sap-hana



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Joomla ออกแพทช์อุดช่องโหว่ LDAP Injection อายุนานกว่า 8 ปี

Joomla ระบบ CMS ชื่อดัง ได้ออกแพทช์อุดช่องโหว่ LDAP Injection ที่มีอายุนานกว่า 8 ปี ซึ่งช่วยให้แฮ็คเกอร์สามารถขโมยข้อมูลบัญชีและรหัสผ่านของผู้ใช้และเข้าควบคุมเว็บไซต์ทั้งหมดได้ แนะนำให้ผู้ดูแลเว็บอัปเดตแพทช์ล่าสุดทันที

MongoDB ประกาศเข้าตลาดหลักทรัพย์แล้ว

MongoDB ได้เข้ายื่นเอกสารต่อ Securities and Exchange Commission (SEC) เพื่อเข้าสู่ตลาดหลักทรัพย์แล้วอย่างเป็นทางการ