SAPHANAプラットフォームが脆弱であることが判明しました, いくつかの高リスクの欠陥を含む. 搾取時に, この脆弱性により、攻撃者はプラットフォームを完全にリモート制御できる可能性があります, ユーザー名とパスワードも必要ありません. 脆弱性はによって発見されました オナプシス.
セバスチャン・ボルトニックが説明したように, オナプシスの研究責任者, 「「このレベルのアクセスにより、攻撃者はHANAがサポートするビジネス情報とプロセスに対して任意のアクションを実行できます。, 作成を含む, 窃盗, 機密情報の変更および/または削除.」
関連している: CVE-2017-5638パッチが適用されていますが、まだ攻撃を受けています, リスクのある企業
これらの欠陥の悪用は、組織に多くの深刻な結果をもたらす可能性があります.
脆弱性が影響するHANAコンポーネント?
この欠陥は、デフォルトで有効になっていないSAPHANAユーザーセルフサービスコンポーネントに影響します. HANAのバージョンについて, これが正確なリストです:
– SAP HANA SPS 12 (newDB rel 1.00.121.00.1466466057)
– SAP HANA 2 SPS0 (newDB rel 2.00.000.00.1479874437)
– SAP HANA SPS11 (1.00.110.144775). 11月発売 2015
– SAP HANA SPS10 (1.00.101.00.1435831848). 6月発売 2015
– SAP HANASPS09 (1.00.91.1418659308). 11月発売 2014.
SAPHANAのセルフサービスツールの詳細
このツールを使用すると、ユーザーはパスワード変更などの追加機能をアクティブ化できます, 忘れたパスワードのリセット, ユーザーの自己登録. コンポーネントにいくつかの脆弱性が見つかりました, そしてそれらはCVSSv3ベーススコアでタグ付けされています 9.80, オナプシスの研究者は説明します.
悪用に成功した場合, 脆弱性により、攻撃者が他のユーザーになりすます可能性があります, 特権の高い人でも. 冒頭で述べたように, ログイン資格情報を必要とせずに、プラットフォームがリモートで侵害される可能性があります.
関連している: ESETCVE-2016-9892欠陥がMacをリモートコード実行にさらす
研究者は、最新のSAPHANAの欠陥を発見しました 2 プラットフォームですが、後でいくつかの古いバージョンも脆弱であることに気づきました. 彼らの調査結果は、欠陥が約2年半の間プラットフォームに存在していたという厄介な結論を導きました。. これは、ユーザーセルフサービスコンポーネントが最初に導入されたときです. 不運にも, この長期間は、SAPシステムを実行している組織を侵害する悪意のある攻撃者によって脆弱性がすでに発見されていることを示唆しています。.
組織がこれらの脆弱性にどのように対処すべきかについて, セバスチャン・ボルトニックは言った:
組織がこの脅威インテリジェンスを使用してシステムを評価し、現在このコンポーネントを使用していないことを確認することを願っています, したがって、これらのリスクの影響を受けません. サービスが有効になっていない場合でも, 将来システムに変更が加えられた場合に備えて、これらの組織がパッチを適用することを引き続きお勧めします.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: