SAP-HANA-Plattformen wurden nur verwundbar gefunden, mehrere hohes Risiko Fehler enthält,. Bei der Ausbeutung, die Schwachstellen kann ein Angreifer an, um alle Remote-Kontrolle über die Plattform ermöglichen, ohne selbst benötigen Benutzername und Passwort. Die Sicherheitslücken wurden entdeckt von Onapsis.
Wie von Sebastian Bortnik, Leiter der Forschung bei Onapsis, "dieses Niveau der Zugang erlauben würde, ein Angreifer eine Aktion über die Geschäftsinformationen und Prozesse von HANA unterstützt auszuführen, einschließlich der Erstellung von, stehlen, Ändern und / oder Löschen von sensiblen Daten."
verbunden: CVE-2017-5638 gepatchten aber immer noch unter Beschuss, Unternehmen at Risk
Die Ausbeutung dieser Mängel könnten die beteiligten Organisationen viele schwerwiegende Folgen verursachen.
Was HANA Komponenten haben die Schwachstellen betreffen?
Die Mängel wirken sich auf die SAP-HANA-User-Self-Service-Komponente, die nicht standardmäßig aktiviert ist. In Bezug auf die Versionen von HANA, hier ist die genaue Liste:
– SAP HANA SPS 12 (newdb rel 1.00.121.00.1466466057)
– SAP HANA 2 SPS0 (newdb rel 2.00.000.00.1479874437)
– SAP HANA SPS11 (1.00.110.144775). Veröffentlicht im November 2015
– SAP HANA SPS10 (1.00.101.00.1435831848). Veröffentlicht im Juni 2015
– SAP HANA SPS09 (1.00.91.1418659308). Veröffentlicht im November 2014.
Mehr über den Self-Service-Tool für SAP HANA
Das Tool ermöglicht es Benutzern, zusätzliche Funktionen zu aktivieren, wie Kennwortänderung, Reset-Kennwort vergessen haben, Benutzer-Selbstregistrierung. Es gibt nur wenige Schwachstellen in der Komponente gefunden, und sie wurden mit CVSS- v3 Base-Score von getaggt 9.80, Onapsis Forscher erklären.
Wenn ausgebeutet erfolgreich, die Schwachstellen kann ein Angreifer zum Imitieren anderen Benutzern erlauben,, auch hohe Privilegierten. Wie in der eingangs genannten, Die Plattform kann über das Netzwerk ohne die Notwendigkeit von Login-Daten beeinträchtigt werden.
verbunden: ESET CVE-2016-9892 Flaw Exposes Macs zu Remotecodeausführung
Die Forscher entdeckten, die Mängel auf der neuesten SAP HANA 2 Plattform aber später erkannte, dass einige ältere Versionen waren auch anfällig. Ihre Ergebnisse lassen auf die lästigen Schluss, dass die Mängel für etwa zweieinhalb Jahre in der Plattform anwesend war. Dies ist, wenn der Nutzer Self Service-Komponente zuerst eingeführt wurde. Leider, diese lange Zeit legt nahe, dass haben die Schwachstellen bereits durch böswillige Angreifer entdeckt worden Organisationen, die SAP-Systeme zu beeinträchtigen.
In Bezug auf, wie Unternehmen mit diesen Schwachstellen umgehen sollten, Sebastian Bortnik sagte:
Wir hoffen, dass Organisationen, die diese Bedrohung Intelligenz nutzen werden, ihre Systeme zu bewerten und zu bestätigen, dass sie nicht gerade diese Komponente, und sind daher nicht von diesen Risiken betroffen. Selbst wenn der Dienst nicht aktiviert ist, Wir empfehlen nach wie vor, dass diese Organisationen die Patches für den Fall gelten eine Änderung des Systems in der Zukunft gemacht wird.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: