ما گزارش عمق: راهنمای نهایی برای فروشندگان امنیت فناوری اطلاعات
مسئله پیکربندی امنیتی بحرانی موثر بر همه پیاده سازی SAP ارائه می تواند مهاجم غیرمجاز از راه دور با دسترسی نامحدود به این سیستم را قادر می سازد مهاجم به تغییر یا استخراج تمام اطلاعات و یا سیستم خاموش شود.
عیب تازگی کشف توسط محققان امنیتی شرکت Onapsis ، پیکربندی امنیتی که اولین بار توسط SAP در 2005 مستند شده هدایت می شود. این مسئله می تواند بالقوه توسط سیستم مدیریت پچ ثابت اما سیستم های SAP برای پیچیدگی خود شناخته می شود.
‘ در حالی که پچ برای مدتی به مشتریان SAP در دسترس بوده است, ما درک پیچیدگی سازمان صورت هنگام اجرای تنظیمات امن “محققان نوشت.
تعداد بالقوه آسیب دیده سیستم های عظیم، بالغ حدود 378.000 مشتریان در سراسر جهان و 87 درصد از 2000 جهانی است. “آن همه نسخه های SAP Netweaver تاثیر می گذارد و هنوز وجود دارد در داخل تنظیمات امنیتی پیش فرض بر روی هر محصول SAP Netweaver مبتنی بر مانند SAP ERP شامل آخرین نسخه مانند S/4HANA” محققان اشاره کرد. https://o1.qnsr.com/log/p.gif?;
به کاهش نقص سازمان ها نیاز به سه زیر SAP در امنیت یادداشت ها که نیاز به ورود به سیستم SAP:
در طول سال های گذشته از تجزیه و تحلیل صدها نفر از پیاده سازی SAP مشتری Onapsis در بر داشت که حدود 90 درصد از آن سیستم “vulnerable.txt” به معایب بودند.
“تیم Onapsis معتقد است که این مهم است به اندازه کافی به آگاهی عمومی به شماره دو اطلاع SAP مشتریان از این تهدیدات پنهان است که ممکن است در شبکه های خود را وجود” محققان نوشت.
با این حال، Onapsis می گوید: محققان مدرکی نقص در وحشی تا کنون در حال بهره برداری یافت نشد.
“در حالی که توجه زیادی خواهد امسال برای آسیب پذیری های جدید، مانند IoT بحران و شبح، وجود دارد، تهدید بیشتر سکوت پشت صحنه است که ممکن است جدی و قطعا به عنوان گسترده کمین” ژاپن CTO Onapsis پرز Etchegoyen در بیانیه ای گفت.
“بسیاری از SAP مناظر پس ارتباط تنگاتنگ و پیچیده که یک سیستم آفلاین برای اجرای پیکربندی امن مصرف بسیار مخرب به سازمان می توان،” پرز Etchegoyen اضافه شده. که می شود گفت، این حیاتی است که سازمان اطمینان حاصل شود که آنها را به زمان برای پیاده سازی پیکربندی است. این ارتقاء باید برنامه ریزی و زمان بندی شده کمترین تاثیر را در سازمان داشته باشد.”
بیشتر چه، مسئله باقی مانده است در تنظیمات امنیتی پیش گزیده برای هر محصول SAP Netweaver مبتنی بر پرز-Etchegoyen اشاره کرد، “تقریبا غیر ممکن است به اطمینان حاصل شود که تیم های جداگانه پیکربندی تنظیمات ناامن به دلیل اضافه کردن، reset ساخت مهاجرت یا ارتقاء سیستم.”
گزارش تهدید های دقیق در مورد این مسئله می توان از وب سایت Onapsis را دریافت می شود و شرکت پخش جزئیات نقص در تاریخ 8 مه میزبانی خواهد شد.