piattaforme SAP HANA sono stati appena trovato vulnerabile, contenente diversi difetti ad alto rischio. upon sfruttamento, Tali vulnerabilità possono consentire a un utente malintenzionato di prendere il pieno controllo remoto attraverso la piattaforma, senza nemmeno bisogno username e password. Le vulnerabilità sono state scoperte da Onapsis.
Come spiegato da Sebastian Bortnik, Capo della ricerca presso Onapsis, "questo livello di accesso sarebbe consentire a un hacker di eseguire qualsiasi azione sulle informazioni di business e dei processi supportati da HANA, compresa la creazione di, furto, alterare e / o l'eliminazione di dati sensibili."
Correlata: CVE-2017-5638 rattoppato ma ancora sotto attacco, Le aziende a rischio
Lo sfruttamento di questi difetti potrebbero causare le organizzazioni coinvolte molte conseguenze gravi.
Che HANA componenti non le vulnerabilità riguardano?
I difetti influenzano il SAP HANA utente Self Service componente che non è abilitato di default. Per quanto riguarda le versioni di HANA, ecco la lista esatta:
– SAP HANA SPS 12 (rel newdb 1.00.121.00.1466466057)
– SAP HANA 2 SPS0 (rel newdb 2.00.000.00.1479874437)
– SAP HANA SPS11 (1.00.110.144775). Rilasciato nel mese di novembre 2015
– SAP HANA SPS10 (1.00.101.00.1435831848). Rilasciato nel mese di giugno 2015
– SAP HANA SPS09 (1.00.91.1418659308). Rilasciato nel mese di novembre 2014.
Informazioni sullo strumento Self Service per SAP HANA
Lo strumento consente agli utenti di attivare funzionalità aggiuntive come la modifica della password, reset Password dimenticata, utente self-registrazione. Ci sono poche le vulnerabilità presenti nel componente, e sono stati etichettati con CVSS v3 Base Punteggio di 9.80, Onapsis ricercatori spiegano.
Se sfruttata con successo, le vulnerabilità possono consentire a un utente malintenzionato di impersonare altri utenti, anche quelli privilegiati alti. Come accennato all'inizio, la piattaforma potrebbe essere compromessa da remoto, senza la necessità di credenziali di accesso.
Correlata: Un difetto ESET CVE-2016-9892 espone Mac per l'esecuzione di codice in modalità remota
I ricercatori hanno scoperto i difetti sulle ultime SAP HANA 2 piattaforma, ma poi si rese conto che alcune versioni meno recenti sono stati anche vulnerabili. I loro risultati permettono alla conclusione fastidioso che i difetti erano presenti nella piattaforma per anni a circa due anni e mezzo. Questo è quando l'utente componente Self Service è stato introdotto prima. Sfortunatamente, questo lungo periodo di tempo suggerisce che le vulnerabilità sono già stati scoperti dagli attaccanti malintenzionati per compromettere organizzazioni che utilizzano sistemi SAP.
Per quanto riguarda come le organizzazioni devono affrontare queste vulnerabilità, Sebastian Bortnik ha detto:
Ci auguriamo che le organizzazioni utilizzeranno questa intelligenza minaccia per valutare i loro sistemi e confermiamo che non sono attualmente utilizzando questa componente, e, pertanto, non sono interessati da questi rischi. Anche se il servizio non è abilitato, si consiglia comunque che queste organizzazioni si applicano le patch nel caso in cui si apportate al sistema in futuro un cambiamento.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: