Hầu hết các bản cài đặt SAP đều có thể bị hack

08:45 | 12/05/2015 | LỖ HỔNG ATTT

Các nhà nghiên cứu cho biết, có tới 95% số bản cài đặt SAP của các doanh nghiệp có chứa các lỗ hổng bảo mật nghiêm trọng.

Theo công ty bảo mật Onapsis (đơn vị chuyên cung cấp các công cụ an ninh cho SAP), tin tặc có thể tấn công các bản cài đặt SAP để thực thi các lệnh quản trị và tạo ra các cửa hậu J2EE. Mariano Nunez, tổng giám đốc của Onapsis, nói rằng 250 nghìn khách hàng của SAP đang chịu ảnh hưởng của những lỗ hổng bảo mật có tuổi đời trung bình 18 tháng, trong đó thời gian để SAP phát triển các bản vá là 12 tháng.

Ông phát biểu rằng “Bảo mật của SAP không theo kịp các vụ tấn công xảy ra ở các công ty phần lớn là do có khoảng trống trách nhiệm giữa đội vận hành và đội bảo mật SAP” và "Thực tế là phần lớn các bản vá không liên quan đến bảo mật, thường bị chậm hay tạo ra những rủi ro tác nghiệp mới". Nunez cho rằng phần lớn vấn đề liên quan đến SAP HANA, sản phẩm khiến cho số bản vá bảo mật tăng tới 450%.

Có tới 4 lỗ hổng trong SAP SQL Anywhere được xếp loại 9,5 (trên thang 10) về độ nghiêm trọng, theo sau chúng là 18 lỗ hổng trong Sybase ESP được xếp ở mức 7,5. Alexander Polyakov, nhà sáng lập công ty ERPScan, nói rằng "Chúng tôi không chỉ nói về số lỗ hổng bảo mật, con số này khá lớn, mà còn là độ nghiêm trọng của chúng". Ông cho biết cổng hỗ trợ khách hàng của SAP thể hiện 388 bản vá nhỏ được gọi là “security notes” được phát hành năm ngoái (tăng 7% kể từ năm 2013).

Vấn đề có thể còn tồi tệ hơn vì các lỗ hổng thường phát sinh thêm trong quá trình tùy biến các bản cài đặt SAP. "Nếu các lập trình viên có kinh nghiệm của SAP còn để sót nhiều lỗi trong mã nguồn thì hãy tưởng tượng xem điều gì đang xảy ra với các chương trình được tùy biến, (đặc biệt) là những thứ được thuê ngoài. Cạnh tranh cao độ giữa các công ty thuê ngoài khiến họ giảm thiểu thời gian và nguồn lực phát triển, điều thường ảnh hưởng tới bảo mật" - ông nói. Polyakov đã phát hành các sách trắng (whitepaper) giới thiệu chi tiết về các lỗ hổng thường gặp của SAP, các hướng dẫn kiểm thử xâm nhập (penetration testing) và các biện pháp phòng thủ.

‹ › ×

Tin cùng chuyên mục

Tin tặc khai thác lỗ hổng OpenMetadata để khai thác tiền điện tử trên Kubernetes

14:00 | 25/04/2024

Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.

Các tài khoản X của Netgear, Hyundai bị tin tặc tấn công

14:00 | 16/01/2024

Các tài khoản X (Twitter) chính thức của Netgear và Hyundai MEA (có hơn 160.000 người theo dõi) là những tài khoản nổi tiếng mới nhất bị tin tặc tấn công để phát tán lừa đảo, nhằm lây nhiễm phần mềm độc hại, chiếm đoạt tiền điện tử của các nạn nhân.

Biến thể mới của Trojan ngân hàng Android Chameleon có khả năng vượt qua xác thực sinh trắc học

07:00 | 08/01/2024

Mới đây, các nhà nghiên cứu an ninh mạng tới từ công ty bảo mật di động ThreatFabric (Hà Lan) cho biết một phiên bản cập nhật mới của Trojan ngân hàng Android có tên là Chameleon đang mở rộng mục tiêu nhắm tới người dùng ở Anh và Ý. Trojan này được phân phối thông qua Zombinder - một loại phần mềm Dropper dưới dạng dịch vụ (DaaS). Bài viết này sẽ tập trung phân tích biến thể mới của Chameleon với khả năng đặc biệt vượt qua tính năng xác thực sinh trắc học.

Cảnh báo chiến dịch tấn công nhắm vào các thiết bị USB an toàn

17:00 | 21/12/2023

Mới đây, nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky phát hiện một chiến dịch gián điệp mạng đang nhắm mục tiêu đánh cắp dữ liệu lưu trữ trên các thiết bị USB an toàn sử dụng trong các cơ quan, tổ chức chính phủ các nước Châu Á - Thái Bình dương (APAC).