Hầu hết các bản cài đặt SAP đều có thể bị hack

08:45 | 12/05/2015 | LỖ HỔNG ATTT

Các nhà nghiên cứu cho biết, có tới 95% số bản cài đặt SAP của các doanh nghiệp có chứa các lỗ hổng bảo mật nghiêm trọng.

Theo công ty bảo mật Onapsis (đơn vị chuyên cung cấp các công cụ an ninh cho SAP), tin tặc có thể tấn công các bản cài đặt SAP để thực thi các lệnh quản trị và tạo ra các cửa hậu J2EE. Mariano Nunez, tổng giám đốc của Onapsis, nói rằng 250 nghìn khách hàng của SAP đang chịu ảnh hưởng của những lỗ hổng bảo mật có tuổi đời trung bình 18 tháng, trong đó thời gian để SAP phát triển các bản vá là 12 tháng.

Ông phát biểu rằng “Bảo mật của SAP không theo kịp các vụ tấn công xảy ra ở các công ty phần lớn là do có khoảng trống trách nhiệm giữa đội vận hành và đội bảo mật SAP” và "Thực tế là phần lớn các bản vá không liên quan đến bảo mật, thường bị chậm hay tạo ra những rủi ro tác nghiệp mới". Nunez cho rằng phần lớn vấn đề liên quan đến SAP HANA, sản phẩm khiến cho số bản vá bảo mật tăng tới 450%.

Có tới 4 lỗ hổng trong SAP SQL Anywhere được xếp loại 9,5 (trên thang 10) về độ nghiêm trọng, theo sau chúng là 18 lỗ hổng trong Sybase ESP được xếp ở mức 7,5. Alexander Polyakov, nhà sáng lập công ty ERPScan, nói rằng "Chúng tôi không chỉ nói về số lỗ hổng bảo mật, con số này khá lớn, mà còn là độ nghiêm trọng của chúng". Ông cho biết cổng hỗ trợ khách hàng của SAP thể hiện 388 bản vá nhỏ được gọi là “security notes” được phát hành năm ngoái (tăng 7% kể từ năm 2013).

Vấn đề có thể còn tồi tệ hơn vì các lỗ hổng thường phát sinh thêm trong quá trình tùy biến các bản cài đặt SAP. "Nếu các lập trình viên có kinh nghiệm của SAP còn để sót nhiều lỗi trong mã nguồn thì hãy tưởng tượng xem điều gì đang xảy ra với các chương trình được tùy biến, (đặc biệt) là những thứ được thuê ngoài. Cạnh tranh cao độ giữa các công ty thuê ngoài khiến họ giảm thiểu thời gian và nguồn lực phát triển, điều thường ảnh hưởng tới bảo mật" - ông nói. Polyakov đã phát hành các sách trắng (whitepaper) giới thiệu chi tiết về các lỗ hổng thường gặp của SAP, các hướng dẫn kiểm thử xâm nhập (penetration testing) và các biện pháp phòng thủ.

‹ › ×

Tin cùng chuyên mục

Cảnh báo nhiều lỗ hổng bảo mật thông tin cá nhân trong thời đại chuyển đổi số

10:00 | 13/05/2024

Trong thời đại công nghệ số hiện nay, lỗ hổng bảo mật là một trong những nguyên nhân hàng đầu dẫn đến các cuộc tấn công mạng. Do đó, việc nâng cao hiểu biết và nhận thức về các mối đe dọa mạng ngày càng cần thiết. Việt Nam là một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao thế giới, thế nhưng vấn đề bảo vệ dữ liệu cá nhân vẫn còn gặp nhiều bất cập trong xu thế toàn cầu hóa về chuyển đổi số. Bài báo sẽ thông tin tới độc giả thực trạng mối đe dọa về lỗ hổng bảo mật; một số lỗ hổng phổ biến; phương thức, thủ đoạn khai thác, nguyên nhân xuất hiện lỗ hổng bảo mật, từ đó đưa ra những giải pháp phòng chống và ngăn chặn.

Lỗ hổng chèn lệnh BatBadBut ảnh hưởng đến nhiều ngôn ngữ lập trình

09:00 | 03/05/2024

Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.

Tin tặc có thể sử dụng AI tạo sinh để thao túng các cuộc trò chuyện trực tiếp

09:00 | 09/04/2024

Các nhà nghiên cứu bảo mật của IBM đã chứng minh rằng tin tặc có thể sử dụng trí tuệ nhân tạo (AI) tạo sinh và công nghệ deepfake âm thanh để chiếm quyền điều khiển và thao túng các cuộc hội thoại trực tiếp.

Phần mềm độc hại DirtyMoe lây nhiễm hơn 2.000 máy tính tại Ukraine

13:00 | 07/02/2024

Vừa qua, Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) phát cảnh báo về việc hơn 2.000 máy tính ở nước này đã bị lây nhiễm một loại phần mềm độc hại có tên là DirtyMoe.