ハッカーは現在、人気のあるミッションクリティカルなSAPアプリケーションでいくつかのセキュリティの脆弱性を悪用しています. 脆弱性は完全な乗っ取りを可能にし、標的となる脆弱な組織へのアクセスを提供します.
SAPアプリケーションのいくつかの重大な脆弱性
によると CISAの公式発表 攻撃の, "4月に 6 2021, Onapsisのセキュリティ研究者, SAPとの連携, セキュリティで保護されていないSAPアプリケーションの完全な制御につながる可能性のある、観察された脅威アクターのアクティビティと手法の詳細を示すアラートをリリースしました。」
成功した場合, 攻撃を受けている組織は、データの盗難にさらされる可能性があります, 金融詐欺, ミッションクリティカルなプロセスの中断, すべての操作の停止, とランサムウェア.
幸いなことに、SAPはすべての重大な欠陥に迅速に対処しました, パッチは数ヶ月間お客様にご利用いただけるようになりました, 場合によっては, 何年も. 悪いニュースは、SAPとOnapsisの両方がまだ多くの組織でタイムリーな緩和策の欠如を目撃しているということです, 攻撃者がエクスプロイトウィンドウを開いたままにする.
SAPコマースプラットフォームのもう1つの重大な欠陥
今年の初め, SAPは、コマースプラットフォームの重大な脆弱性に対処しました.
CVE-2021-21477 攻撃者がeコマースビジネスで使用されるSAPアプリケーションを利用できるようにする可能性があります, リモートコード実行につながる. この欠陥はSAPCommerceのバージョンに影響します 1808, 1811, 1905, 2005, と 2011. その重大度スコアは 9.9 CVSSスケールによると10のうち, 影響を重大にする. できるだけ早く脆弱性を軽減することを強くお勧めします.
パッチはすぐにリリースされましたが、部分的なものでした, プラットフォームの新規インストールを初期化するときのデフォルトの権限に対処しました.
「SAPCommerceの既存のインストールの場合, 追加の手動修復手順が必要です. 良いニュースは、既存のインストールの場合です, これらの手動修復手順は、最新のパッチリリースをタイムリーにインストールできないSAPCommerceインストールの完全な回避策として使用できます。,」と、Onapsisのセキュリティ研究者ThomasFritschは説明しました。.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: