SAP HANA platforme er lige fundet sårbare, indeholder flere højrisiko fejl. Ved udnyttelse, sårbarhederne kan give en hacker til at drage fuld fjernbetjening over platformen, uden selv at behøve brugernavn og adgangskode. De sårbarheder blev opdaget af Onapsis.
Som forklaret af Sebastian Bortnik, Leder af forskning på Onapsis, "dette niveau af adgang ville give en hacker til at udføre en handling over informationer og processer virksomhed understøttes af HANA, herunder skabe, stjæle, ændre og / eller sletning af følsomme oplysninger."
Relaterede: CVE-2017-5638 Patched, men stadig under angreb, Virksomheder at Risk
Udnyttelsen af disse fejl kan forårsage organisationerne involveret mange alvorlige konsekvenser.
Hvad HANA Komponenter Har Sårbarheder Affect?
Fejlene påvirker SAP HANA User Self Service-komponent, som ikke er aktiveret som standard. Med hensyn til versioner af HANA, her er den nøjagtige liste:
– SAP HANA SPS 12 (newDB rel 1.00.121.00.1466466057)
– SAP HANA 2 SPS0 (newDB rel 2.00.000.00.1479874437)
– SAP HANA SPS11 (1.00.110.144775). Udgivet i november 2015
– SAP HANA SPS10 (1.00.101.00.1435831848). Udgivet i juni 2015
– SAP HANA SPS09 (1.00.91.1418659308). Udgivet i november 2014.
Mere om Self Service Tool til SAP HANA
Værktøjet giver brugerne mulighed for at aktivere ekstra funktioner som ændring af adgangskode, reset af glemt kodeord, bruger selv-registrering. Der er få sårbarheder fundet i komponent, og de er blevet mærket med CVSS v3 Base Score 9.80, Onapsis forskere forklare.
Hvis udnyttes med succes, sårbarhederne kan give en hacker at efterligne andre brugere, selv høje privilegerede dem. Som nævnt i begyndelsen, platformen kunne blive kompromitteret på afstand uden brug af loginoplysninger.
Relaterede: ESET CVE-2016-9892 Fejl udsætter Macs ekstern udførelse af kode
Forskerne opdagede fejlene på den nyeste SAP HANA 2 platform, men senere indså, at nogle ældre versioner var også sårbare. Deres resultater udlejet til den besværlige konklusion, at fejlene havde været til stede i platformen for cirka to og et halvt år. Dette er, når brugeren Self Service komponent først blev introduceret. Desværre, denne lange periode tyder på, at sårbarhederne allerede er opdaget af ondsindede hackere at kompromitere organisationer, der kører SAP-systemer.
Med hensyn til, hvordan organisationer bør håndtere disse sårbarheder, Sebastian Bortnik sagde:
Vi håber, at organisationer vil bruge denne trussel intelligens til at vurdere deres systemer, og bekræfter, at de ikke bruger i øjeblikket denne komponent, og derfor ikke påvirkes af disse risici. Selv hvis tjenesten er ikke aktiveret, anbefaler vi stadig, at disse organisationer anvender patches hvis der foretages en ændring af systemet i fremtiden.