พบช่องโหว่ Zero-day บน SAP HANA เสี่ยงถูกเข้าควบคุมแบบ Full Access

Onapsis บริษัทที่ปรึกษาด้านความมั่นคงปลอดภัยระบบ SAP ออกมาเปิดเผยถึงช่องโหว่ Zero-day ความเสี่ยงสูงบนแพลตฟอร์ม SAP HANA ซึ่งช่วยให้แฮ็คเกอร์สามารถเข้าควบคุม SAP HANA จากระยะไกลโดยไม่จำเป็นต้องพิสูจน์ตัวตนก่อนได้ แนะนำให้ผู้ดูแลระบบ SAP HANA รีบอัปเดตแพทช์โดยเร็ว

Credit: Pavel Ignatov/ShutterStock

Sebastian Bortnik หัวหน้าทีมวิจัยของ Onapsis ระบุใน Blog เกี่ยวกับช่องโหว่ดังกล่าวว่า การเจาะช่องโหว่เพื่อเข้าควบคุมระบบ SAP HANA นี้ช่วยให้แฮ็คเกอร์สามารถดำเนินกิจกรรมได้ทุกอย่างบนข้อมูลและกระบวนการเชิงธุรกิจของ SAP HANA ไม่ว่าจะเป็นการขโมยข้อมูลออกมาจากระบบ การเปลี่ยนแปลง แก้ไข หรือลบข้อมูลทิ้ง เรียกได้ว่าเป็นช่องโหว่ความรุนแรงระดับ Critical ที่ส่งผลกระทบต่อธุรกิจอย่างใหญ่หลวง

ช่องโหว่นี้ค้นพบบนฟีเจอร์ของ SAP HANA ที่ชื่อว่า SAP HANA User Self Service ซึ่งเป็นฟีเจอร์ที่ไม่ได้เปิดใช้งานมาตั้งแต่เริ่มแรก ผู้ใช้ต้องเปิดใช้งานเอง โดยเวอร์ชันของ SAP HANA ที่ได้รับผลกระทบ ได้แก่

  • SAP HANA SPS 12 (newDB rel 1.00.121.00.1466466057)
  • SAP HANA 2 SPS0 (newDB rel 2.00.000.00.1479874437)
  • SAP HANA SPS11 (1.00.110.144775) ออกเมื่อเดือนพฤศจิการยน 2015
  • SAP HANA SPS10 (1.00.101.00.1435831848) ออกเมื่อเดือนมิถุนายน 2015
  • SAP HANA SPS09 (1.00.91.1418659308) ออกเมื่อเดือนพฤศจิการยน 2014

Onapsis ระบุว่า ช่องโหว่ดังกล่าวคาดว่ามีมาแล้วไม่ต่ำกว่า 2 ปีครึ่งนับตั้งแต่เริ่มมีฟีเจอร์ User Self Service ให้บริการ โดยค้นพบช่องโหว่ทั้งบน SAP HANA 2 เวอร์ชันใหม่ล่าสุด ไปจนถึง SAP HANA เวอร์ชันปี 2014 ซึ่งแนะนำให้ผู้ใช้ SAP HANA ตรวจสอบว่าบริษัทของตนเปิดใช้ฟีเจอร์ที่มีช่องโหว่หรือไม่ ถ้าเปิดใช้ทำงานให้รีบอัปเดตแพทช์ตาม SAP Security Note #2424173 หัวข้อ “Vulnerabilities in the User Self-Service Tools of SAP HANA” และ Security Note #2429069 โดยเร็ว

ที่มา: https://www.onapsis.com/blog/sap-security-notes-march-2017-onapsis-helps-secure-critical-bugs-sap-hana




About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

นักวิจัยสามารถทำการโจมตีแบบ GPS Spoofing ได้สำเร็จกับระบบนำทาง

นักวิจัยจากมหาวิทยาลัย Virginia Tech, มหาวิทยาลัย Electronic Science และ Technology of China และทีมวิจัยของ Microsoft ได้ร่วมกันค้นพบวิธีการโจมตีแบบ GPS Spoofing …

AWS ออก Lifecycle Management สำหรับ EBS Snapshot

AWS ออก Lifecycle Management สำหรับ EBS ซึ่งจะช่วยในการบริการจัดการ การสร้างและลบ Retention ของ Snapshot ได้อย่างอัตโนมัติ แทนที่แบบเดิมต้องทำเองหรือใช้เครื่องมือพิเศษต่างหาก