Lỗ hổng định danh CVE-2021-38178 (CVSS 9.1) có thể bị khai thác để vượt qua Quality gates và chuyển mã ABAP do tin tặc tự tạo nhắm vào các hệ thống sản xuất.
Lỗ hổng này cho phép tin tặc giả mạo các yêu cầu Transport (Transport Requests), vượt qua các Quality gate và chuyển các artifact sang hệ thống sản xuất.
Transport Requests được sử dụng để triển khai các sửa đổi trong toàn bộ dòng hệ thống SAP và những yêu cầu này được giả định là không thể sửa đổi sau khi được đưa ra. Do đó, nếu cần bất kỳ một thay đổi nào, một Transport Requests mới sẽ được tạo ra.
Tuy nhiên, SecurityBridge phát hiện ra rằng việc triển khai SAP tiêu chuẩn bao gồm một chương trình cho phép nhân viên với một cấp độ ủy quyền cụ thể có thể thay đổi các thuộc tính tiêu đề của các SAP Transport Requests.
Qua đó, tin tặc với đủ đặc quyền trong một hệ thống bị xâm nhập có khả năng tác động vào việc xuất các Transport Request với việc thay đổi trang thái phát hành từ "Released" thành "Modifiable" và nhập nó vào đơn vị sản xuất.
Một Transport Request có thể bị giả mạo sau khi đã vượt qua tất cả các Quality gate và tin tặc có thể thêm mã độc, thực thi sau khi xâm nhập vào hệ thống mục tiêu. Từ đó, dẫn đến các cuộc tấn công chuỗi cung ứng.
Lỗ hổng này ảnh hưởng tới tất cả môi trường SAP sử dụng Transport Directory ở các cấp độ khác nhau. Các tổ chức, doanh nghiệp nên cập nhật bản vá và kiểm tra các Transport Request trước khi nhập vào quy trình sản xuất.
M.H
10:00 | 03/08/2021
09:00 | 25/01/2022
11:00 | 14/02/2022
09:00 | 22/04/2022
08:00 | 18/04/2022
10:00 | 08/04/2022
18:00 | 22/07/2021
16:00 | 13/07/2021
09:00 | 03/04/2024
Mới đây, công ty Synology (Đài Loan) đã giải quyết các lỗ hổng nghiêm trọng trong các phiên bản phần mềm Surveillance Station DSM 7.2, DSM 7.1 và DSM 6.2. Các lỗ hổng này có thể gây ra việc mất dữ liệu, mất kiểm soát hệ thống và gián đoạn dịch vụ quan trọng.
14:00 | 26/03/2024
Công ty sản xuất phần mềm Atlassian (Úc) phát hành các bản vá bảo mật để giải quyết hơn 20 lỗ hổng, bao gồm một lỗ hổng nghiêm trọng ảnh hưởng đến Data Center và máy chủ Bamboo, có thể bị khai thác mà không cần sự tương tác của người dùng.
10:00 | 21/11/2023
Ngày 15/11, Microsoft công bố ra mắt bộ đôi chip điện toán thiết kế tùy chỉnh (Maia và Cobalt) dành cho AI, trong bối cảnh các công ty công nghệ lớn chạy đua tự phát triển chip nhằm giảm chi phí và tự chủ công nghệ lõi.
09:00 | 27/10/2023
Trong tháng 10/2023, Fortinet đã mở rộng các “điểm hiện diện” Fortinet SASE tới các địa điểm mới thông qua việc hợp tác với Google Cloud. Mối quan hệ hợp tác này cho phép Fortinet tận dụng tối đa các vị trí mạng toàn cầu của Google Cloud ở gần khu vực hiện diện, đồng thời cung cấp kết nối và sẵn sàng dịch vụ đến 99,99%, nhằm thúc đẩy việc mở rộng giải pháp Universal SASE của Fortinet.
Trong hai ngày 09/4 và 11/4, lần lượt tại Hà Nội và Thành phố Hồ Chí Minh, Công ty Cổ phần Tin học Mi Mi (Mi2) đã tổ chức thành công Hội thảo "Bảo vệ dữ liệu Microsoft 365 quy mô lớn và chuẩn bị cho Copilot Generative AI".
16:00 | 15/04/2024