Lỗ hổng định danh CVE-2021-38178 (CVSS 9.1) có thể bị khai thác để vượt qua Quality gates và chuyển mã ABAP do tin tặc tự tạo nhắm vào các hệ thống sản xuất.
Lỗ hổng này cho phép tin tặc giả mạo các yêu cầu Transport (Transport Requests), vượt qua các Quality gate và chuyển các artifact sang hệ thống sản xuất.
Transport Requests được sử dụng để triển khai các sửa đổi trong toàn bộ dòng hệ thống SAP và những yêu cầu này được giả định là không thể sửa đổi sau khi được đưa ra. Do đó, nếu cần bất kỳ một thay đổi nào, một Transport Requests mới sẽ được tạo ra.
Tuy nhiên, SecurityBridge phát hiện ra rằng việc triển khai SAP tiêu chuẩn bao gồm một chương trình cho phép nhân viên với một cấp độ ủy quyền cụ thể có thể thay đổi các thuộc tính tiêu đề của các SAP Transport Requests.
Qua đó, tin tặc với đủ đặc quyền trong một hệ thống bị xâm nhập có khả năng tác động vào việc xuất các Transport Request với việc thay đổi trang thái phát hành từ "Released" thành "Modifiable" và nhập nó vào đơn vị sản xuất.
Một Transport Request có thể bị giả mạo sau khi đã vượt qua tất cả các Quality gate và tin tặc có thể thêm mã độc, thực thi sau khi xâm nhập vào hệ thống mục tiêu. Từ đó, dẫn đến các cuộc tấn công chuỗi cung ứng.
Lỗ hổng này ảnh hưởng tới tất cả môi trường SAP sử dụng Transport Directory ở các cấp độ khác nhau. Các tổ chức, doanh nghiệp nên cập nhật bản vá và kiểm tra các Transport Request trước khi nhập vào quy trình sản xuất.
M.H
10:00 | 03/08/2021
09:00 | 25/01/2022
11:00 | 14/02/2022
09:00 | 22/04/2022
08:00 | 18/04/2022
10:00 | 08/04/2022
18:00 | 22/07/2021
16:00 | 13/07/2021
11:00 | 15/08/2024
Công nghệ Blockchain hiện nhận được nhiều sự quan tâm, nghiên cứu và ứng dụng trên toàn thế giới. Chính vì vậy, Tạp chí An toàn thông tin phỏng vấn ông Phan Đức Trung, Phó Chủ tịch thường trực Hiệp hội Blockchain Việt Nam để cùng nghe ông chia sẻ cũng như nhận định về tình hình phát triển của công nghệ Blockchain trong thời gian tới.
15:00 | 04/08/2024
Nvidia đang nghiên cứu một phiên bản chip AI mới dành cho thị trường Trung Quốc. Phiên bản mới này được cho là sẽ tương thích với các biện pháp kiểm soát xuất khẩu hiện tại của Hoa Kỳ.
14:00 | 30/07/2024
Trung tuần tháng 7, Microsoft, Adobe và SAP đã phát hành bản vá cho các sản phẩm của mình, khắc phục tổng cộng 167 lỗ hổng bảo mật.
15:00 | 19/07/2024
Microsoft vừa gặp sự cố lớn, khiến người dùng trên toàn thế giới không thể truy cập vào nền tảng đám mây của hãng. Đồng thời, nhiều hãng hàng không cũng phải huỷ chuyến bay.
Juventus lựa chọn Kiến trúc bảo mật Security Fabric và danh mục sản phẩm mạng bảo mật của Fortinet nhằm đơn giản hóa quản lý và giúp phát hiện, giải quyết các vấn đề mạng và bảo mật khắp các cơ sở nổi tiếng thế giới của câu lạc bộ này.
16:00 | 31/08/2024