原标题:九成SAP用户权限没关好!13年前问题设定恐让骇客任意存取App
安全服务业者Onapsis发现一项攸关资料外泄的SAP△系统设定,即使SAP△13年前已经发出警告,但至今仍有九成用户仍然未解决。
本问题并非SAP产品的安全漏洞,而是一项系统设定,存在于SAP底层的NetWeaver中的SAP△Message△Server中。它的角色是支援SAP基础架构软件如SAP△Application△Server、SAP△Central△Instance交易流量尖峰时的通讯及负载平衡,当IT开发出新app时也需经由Message△Server注册。Message△Server的安全把关功能是它支援存取控制表 (access△control△list,ACL),决定谁可存取port△3900以注册服务。
问题在于由于各家企业网络环境不同,SAP△NetWeaver△Message△Server软件ACL出货时预设为关闭,以利系统安装设定。然而关闭ACL意谓着所有人都可以存取port△3900注册app,包括外部攻击者。
早在2005年,SAP就已发出安全公告(仅SAP用户有存取权限),呼吁用户开启ACL的设定,以降低被非法存取的风险。之后又在2009 、2010年分别发布警告。
不过在Onapsis去年度针对数百家SAP用户系统环境所做的调查,大约有90%的企业仍然未变更Message△Server的预设,致使系统门户洞开。结果可能包括远端非授权攻击者或是内部员工开发恶意App后注册成SAP基础架构的服务,借此存取ERP或S/4HANA等应用系统,达到窃取、窜改资料或把系统整个破坏的目的。所有版本SAP△Netweaver都受该问题影响。
安全厂商也呼吁SAP用户应尽速检视系统,自行或在外部服务商协助下将问题解决。
相关:
骇客挟持BGP,窜改加密钱包DNS,盗走价值1.7万美元的以太币
骇客挟持BGP,窜改加密钱包DNS,盗走价值1.7万美元的以太币 资安专家推测,骇客挟持BGP把Amazon△Route△53服务的流量导至骇客操纵的DNS伺服器,将造访MyEtherWallet的用户导向伪造网站,诱MyEtherWallet钱包用户输入
赛门铁克:骇客集团锁定医疗供应链展开攻击,美国、欧洲、亚洲都是目标
示意图,与新闻事件无关。 图片来源: Symantec 资安业者赛门铁克(Symantec)周一(4/23)揭露一针对医疗产业展开攻击的新骇客集团Orangeworm,该集团于受害电脑上植入了木马程式Trojan.Kwampirs,这些受害电脑安装
美国国土安全部底下的US-CERT发布技术警报(Technical△Alert,TA),由美国国土安全部(DHS)、联邦调查局(FBI)和英国国家网络安全中心(NCSC)联手分析的结果显示,由俄罗斯政府资助的骇客正对路由器、交换器、防
在沙特阿拉伯东北部的AlWusta,考古学家发现了智人的指骨化石残骸。摄影:IANCARTWRIGHT此前,科学界一直认为,现代人类直至60000年前才离开非洲,而这些发现于史前湖区的手指骨化石,带来了不同的观点。今天的阿拉伯
韩国泡菜的进口规模逐渐高于出口规模,世界泡菜研究所去年9月发布的报告显示,韩国泡菜消费量中,进口比重约占35%。图片来源:视觉中国作者/汤亚文提到韩国饮食文化,许多人都认为韩式泡菜是其中最有亮点的美食。它