全球使用SAP ERP的企业用户要注意了,安全厂商发现一只锁定SAP平台的恶意软件近日被公开,将导致全球100万家SAP企业客户中高达9成,陷入系统被黑客接管或删改数据的风险。安全厂商Onapsis Research Labs近日发现,一只瞄准SAP Gateway和Message Server的恶意软件10KBlaze被公开在网络论坛上。Gateway和Message Server都是SAP Netweaver中的组件,分别提供行动装置及其他系统连接SAP系统,以及串联Netweaver各组件和数据库。10KBlaze主要是利用NetWeaver及S/4HANA一项已由SAP官方揭露的系统设定问题而对企业带来威胁。
去年Onapsis发现,SAP NetWeaver Message Server软件出货时,访问控制表(Access Control List, ACL)预设为关闭,以方便系统安装。然而关闭ACL意谓着,所有人都可以存取port 3900注册app,包括外部攻击者。事实上SAP早在14年前就三度发出警告,提醒企业用户开启ACL设定,以降低未授权存取的风险。安全公司估计有90万家用户仍使用不当的设定。研究人员指出,一旦SAP被植入10KBLAZE,远程攻击者即可以用它来新增具备管理员权限的用户账号,藉此存取或修改机密敏感的企业数据,或是取得数据库完整访问权限、搞挂SAP系统或永久删除重要信息。
安全公司指出,由于每个SAP系统都有Message Server和Gateway,因此所有使用NetWeaver Application Server及S/4HANA的系统都可能受影响,包括SAP Business Suite、ERP、SAP CRM、SCM、SAP SRM、S/4HANA、SAP Solution Manager、SAP GRC Process and Access Control、SAP Process Integration/Exchange Infrastructure (PI/XI)、SAP Solution Manager等等。由于波及范围实在太大,安全公司已经把这只程序的入侵检测签章开源给主要防火墙厂商如思科、FireEye及Palo Alto,而企业用户也可以将Snort rules实作于防火墙及入侵检测系统来防止入侵。相关内容提供参考:sbf胜博网址 http://tpmanager.org.tw/