打开微信“扫一扫”,打开网页后点击屏幕右上角分享按钮
SAP终于修补拖了3年之久的软件漏洞 用户至上在哪儿?
5639
2016-10-14 13:03
文章摘要:根据Onapsis的调查报告,全世界超过25万企业因SAP系统中存在的一系列安全漏洞而受到影响,可能导致严重的企业数据泄露。SAP是世界上最受欢迎的企业应用软件企业和解决方案提供商,为85%以上的全球500强企业和190个国家的282,000+家客户提供解决方案。
漏洞原因
最近在对SAP解决方案提供商进行的一项研究显示,超
根据Onapsis的调查报告,全世界超过25万企业因SAP系统中存在的一系列安全漏洞而受到影响,可能导致严重的企业数据泄露。SAP是世界上最受欢迎的企业应用软件企业和解决方案提供商,为85%以上的全球500强企业和190个国家的282,000+家客户提供解决方案。
漏洞原因
最近在对SAP解决方案提供商进行的一项研究显示,超过95%的企业SAP存在严重的安全问题,这些问题将它们置于网络攻击风险之中并可能导致严重的数据泄露。影响包括98%的100个最有价值的品牌在内,全世界超过250000个SAP业务客户都因SAP系统中的一系列漏洞而暴露在网络攻击之下。
Onapsis首席执行官Mariano Nunez说:
“最令人惊讶的是,因为SAP操作团队和IT安全团队之间的责任差距,大多数公司的SAP网络安全都面临着威胁。事实上,应用的大多数补丁都与安全无关、发布过迟或者引入了进一步的操作风险。”
该研究还报告说,在2014年SAP发布了391个安全补丁,而它们中的50%以上都被评定为高风险漏洞。
攻击方式及影响范围
针对SAP应用程序的主要网络攻击(也就是系统弱点)分为以下几类:
报告中提供了针对SAP系统最常见的三种网络攻击的细节信息,这些攻击向量使得黑客可以入侵SAP系统并能够访问公司数据的应用程序。经过专家研究确认,网络攻击将会严重影响以下关键业务进程:
根据Nunez所说,SAP HANA应该对新增加的450%的安全补丁负责:
“这一趋势不仅仅是持续的,而是随着SAP HANA更加恶化,因为SAP HANA导致新的安全补丁增加了450%。因为SAP HANA位于SAP生态系统的中心,所以存储在SAP平台的数据现在必须同时在云端和前端进行保护。”
安全措施
该报告还提供了以下行动计划,用以提高SAP系统的安全级别:
为了保护SAP软件,遵循任何SAP安全记录和监控内部体系结构非常重要,这能够有效预防一些安全问题。
SAP释出10月安全更新共修补48个软件漏洞,其中包括早在2012年便发现的SAP P4验证检查漏洞,虽然SAP在2013年即修补,但长期追踨SAP产品安全性的ERPScan指出根据测试,仍有多数的新系统版本存在相同的漏洞,曝露资安风险长达3年之久。
企业应用软件大厂SAP本周公布10月份软件安全更新,其中一项修补SAP P4验证检查漏洞,被指为已经存在3年,终于完成修补。
此次更新一共修补了48个软件漏洞,根据长期追踪ERP业者产品安全性的业者ERPScan分析,这是自2012年以来单月最高漏洞修补纪录,其中多数修补可转换授权检查(switchable authorization check)漏洞,而最受瞩目的则是SAP NetWeaver AS JAVA P4上存在达3年的误失认证检查(missing authentication check)漏洞,该漏洞影响到SAP的网络服务,让黑客能从远端控制SAP的JAVA平台,例如SAP Portal 系统。
该漏洞其实早在2012年即被发现,SAP亦在2013年释出修补程序,但ERPScan表示,该公司测试发现,多数新系统版本仍然存在相同问题,如今SAP终于修复,显示存在问题的系统在过去3年间都曝露于风险中。
尽管存在漏洞的网络服务应该仅存在于企业内网,不至于被一般网际网络上的用户找到,但ERPScan还是在网络上发现了多达256个含有漏洞的服务能够过网际网络存取,其中有57个来自印度、35个来自美国,18个来自中国,是在网络上被发现该漏洞最多的三个国家。
这并非SAP首度被发现修补软件漏洞的进度落后。在今年7月的更新中,也修补了一个被发现达3年的软件漏洞。
不过并没有证据显示,这些很晚才被修补的漏洞的确已经造成用户遭到攻击或发生损失。SAP表示,一直都有和包括ERPScan在内的研究单位合作,确保任何向外公布漏洞的做法都是负责任的,SAP也都有透过服务市集提供安全更新供用户下载,该公司并呼吁用户在SAP推出任何安全更新后,便立即下载安装。
漏洞原因
最近在对SAP解决方案提供商进行的一项研究显示,超过95%的企业SAP存在严重的安全问题,这些问题将它们置于网络攻击风险之中并可能导致严重的数据泄露。影响包括98%的100个最有价值的品牌在内,全世界超过250000个SAP业务客户都因SAP系统中的一系列漏洞而暴露在网络攻击之下。
Onapsis首席执行官Mariano Nunez说:
“最令人惊讶的是,因为SAP操作团队和IT安全团队之间的责任差距,大多数公司的SAP网络安全都面临着威胁。事实上,应用的大多数补丁都与安全无关、发布过迟或者引入了进一步的操作风险。”
该研究还报告说,在2014年SAP发布了391个安全补丁,而它们中的50%以上都被评定为高风险漏洞。
攻击方式及影响范围
针对SAP应用程序的主要网络攻击(也就是系统弱点)分为以下几类:
- 核心网络:执行远程功能的模块。
- 数据仓库:为了获取或修改SAP数据库中的信息,利用SAP RFC网关中的漏洞执行管理员权限指令。
- 门户网站攻击:利用漏洞创建J2EE后门账户,以访问SAP门户和其他内部系统。
报告中提供了针对SAP系统最常见的三种网络攻击的细节信息,这些攻击向量使得黑客可以入侵SAP系统并能够访问公司数据的应用程序。经过专家研究确认,网络攻击将会严重影响以下关键业务进程:
- 在SAP系统之间使用Pivoting,造成客户信息和信用卡信息泄漏。
- 客户和供应商门户攻击。
- 通过SAP私有协议对数据仓库发起攻击。
根据Nunez所说,SAP HANA应该对新增加的450%的安全补丁负责:
“这一趋势不仅仅是持续的,而是随着SAP HANA更加恶化,因为SAP HANA导致新的安全补丁增加了450%。因为SAP HANA位于SAP生态系统的中心,所以存储在SAP平台的数据现在必须同时在云端和前端进行保护。”
安全措施
该报告还提供了以下行动计划,用以提高SAP系统的安全级别:
- 获取基于SAP资产的可视化功能,以确定“风险价值”。
- 通过持续监控以防止安全性和遵从性问题。
- 检测并应对新威胁、攻击或用户异常表现作为攻击的指示器。
为了保护SAP软件,遵循任何SAP安全记录和监控内部体系结构非常重要,这能够有效预防一些安全问题。
SAP释出10月安全更新共修补48个软件漏洞,其中包括早在2012年便发现的SAP P4验证检查漏洞,虽然SAP在2013年即修补,但长期追踨SAP产品安全性的ERPScan指出根据测试,仍有多数的新系统版本存在相同的漏洞,曝露资安风险长达3年之久。
企业应用软件大厂SAP本周公布10月份软件安全更新,其中一项修补SAP P4验证检查漏洞,被指为已经存在3年,终于完成修补。
此次更新一共修补了48个软件漏洞,根据长期追踪ERP业者产品安全性的业者ERPScan分析,这是自2012年以来单月最高漏洞修补纪录,其中多数修补可转换授权检查(switchable authorization check)漏洞,而最受瞩目的则是SAP NetWeaver AS JAVA P4上存在达3年的误失认证检查(missing authentication check)漏洞,该漏洞影响到SAP的网络服务,让黑客能从远端控制SAP的JAVA平台,例如SAP Portal 系统。
该漏洞其实早在2012年即被发现,SAP亦在2013年释出修补程序,但ERPScan表示,该公司测试发现,多数新系统版本仍然存在相同问题,如今SAP终于修复,显示存在问题的系统在过去3年间都曝露于风险中。
尽管存在漏洞的网络服务应该仅存在于企业内网,不至于被一般网际网络上的用户找到,但ERPScan还是在网络上发现了多达256个含有漏洞的服务能够过网际网络存取,其中有57个来自印度、35个来自美国,18个来自中国,是在网络上被发现该漏洞最多的三个国家。
这并非SAP首度被发现修补软件漏洞的进度落后。在今年7月的更新中,也修补了一个被发现达3年的软件漏洞。
不过并没有证据显示,这些很晚才被修补的漏洞的确已经造成用户遭到攻击或发生损失。SAP表示,一直都有和包括ERPScan在内的研究单位合作,确保任何向外公布漏洞的做法都是负责任的,SAP也都有透过服务市集提供安全更新供用户下载,该公司并呼吁用户在SAP推出任何安全更新后,便立即下载安装。
版权声明:
凡本网内容请注明来源:T媒体(http://www.cniteyes.com)”的所有原创作品,版权均属于易信视界(北京)信息科技有限公司所有,未经本网书面授权,不得转载、摘编或以其它方式使用上述作品。
本网书面授权使用作品的,应在授权范围内使用,并按双方协议注明作品来源。违反上述声明者,易信视界(北京)信息科技有限公司将追究其相关法律责任。
评论