Lỗ hổng định danh CVE-2021-38178 (CVSS 9.1) có thể bị khai thác để vượt qua Quality gates và chuyển mã ABAP do tin tặc tự tạo nhắm vào các hệ thống sản xuất.
Lỗ hổng này cho phép tin tặc giả mạo các yêu cầu Transport (Transport Requests), vượt qua các Quality gate và chuyển các artifact sang hệ thống sản xuất.
Transport Requests được sử dụng để triển khai các sửa đổi trong toàn bộ dòng hệ thống SAP và những yêu cầu này được giả định là không thể sửa đổi sau khi được đưa ra. Do đó, nếu cần bất kỳ một thay đổi nào, một Transport Requests mới sẽ được tạo ra.
Tuy nhiên, SecurityBridge phát hiện ra rằng việc triển khai SAP tiêu chuẩn bao gồm một chương trình cho phép nhân viên với một cấp độ ủy quyền cụ thể có thể thay đổi các thuộc tính tiêu đề của các SAP Transport Requests.
Qua đó, tin tặc với đủ đặc quyền trong một hệ thống bị xâm nhập có khả năng tác động vào việc xuất các Transport Request với việc thay đổi trang thái phát hành từ "Released" thành "Modifiable" và nhập nó vào đơn vị sản xuất.
Một Transport Request có thể bị giả mạo sau khi đã vượt qua tất cả các Quality gate và tin tặc có thể thêm mã độc, thực thi sau khi xâm nhập vào hệ thống mục tiêu. Từ đó, dẫn đến các cuộc tấn công chuỗi cung ứng.
Lỗ hổng này ảnh hưởng tới tất cả môi trường SAP sử dụng Transport Directory ở các cấp độ khác nhau. Các tổ chức, doanh nghiệp nên cập nhật bản vá và kiểm tra các Transport Request trước khi nhập vào quy trình sản xuất.
M.H
10:00 | 03/08/2021
09:00 | 25/01/2022
11:00 | 14/02/2022
09:00 | 22/04/2022
08:00 | 18/04/2022
10:00 | 08/04/2022
18:00 | 22/07/2021
16:00 | 13/07/2021
07:00 | 15/12/2023
Chuyển đổi số đã mang lại rất nhiều lợi ích vượt trội cho doanh nghiệp hiện nay, tuy nhiên nó cũng tạo ra rất nhiều thách thức khi họ phải đối diện với các mối đe dọa tấn công hệ thống ngày càng tăng lên, đồng thời phải đảm bảo an toàn dữ liệu của tổ chức. Theo thống kê, đã có hơn 90% cuộc tấn công bắt nguồn từ lừa đảo thông qua email của doanh nghiệp. Nhiều doanh nghiệp và tổ chức cũng đang dần tìm kiếm giải pháp mới để phòng ngừa lừa đảo qua email, bảo vệ thông tin doanh nghiệp và đảm bảo an toàn cho khách hàng.
13:00 | 14/12/2023
Trước kia trẻ em thường chỉ chịu sự ảnh hưởng giáo dục, thông tin tại gia đình và nhà trường. Tuy nhiên với thời đại công nghệ hiện nay, trẻ em còn có sự tác động và thông tin từ môi trường Internet. Thế giới ảo đã và đang tác động mạnh mẽ đến trẻ em với những rủi ro như bị xâm hại tình dục, lộ, lọt thông tin cá nhân, tin giả, bắt nạt qua mạng.... Chính vì vậy, phụ huynh và giáo viên được coi là lực lượng tiên phong, cần hỗ trợ và bảo vệ các em bằng việc cung cấp những thông tin, kiến thức và cách thức nói chuyện cũng như các bài giảng slide hữu ích dành cho trẻ.
16:00 | 04/12/2023
Với mong muốn được góp sức vào sự phát triển cộng đồng, mang lại giá trị cho các tổ chức/doanh nghiệp trong ngành An toàn, an ninh thông tin, sáng ngày 30/11 vừa qua, Công ty Cổ phần Tin học Mi Mi (Mi2 JSC) đã đồng hành và tham dự Hội thảo - Triển lãm Ngày An toàn thông tin Việt Nam 2023. Sự kiện do Hiệp hội An toàn thông tin Việt Nam (VNISA) tổ chức với chủ đề “An toàn dữ liệu trong thời đại điện toán đám mây và trí tuệ nhân tạo”.
14:00 | 01/11/2023
Các doanh nghiệp công nghệ Việt gồm MK Hi-Tek, SafeGate, Pavana và Vissoft công bố bắt tay hợp tác để phát triển, sản xuất các sản phẩm thiết bị kết nối mạng Make in Vietnam, với mục tiêu làm chủ công nghệ và hiện thực hoá tầm nhìn đưa Việt Nam thành quốc gia tự chủ về an toàn, an ninh mạng để bảo vệ sự thịnh vượng của Việt Nam trên không gian mạng vào 2030.
Oracle dự kiến sẽ đầu tư 1.200 tỷ Yen (khoảng 8 tỷ USD) trong 10 năm, bắt đầu từ năm nay, để mở rộng các trung tâm dữ liệu của mình tại Nhật Bản. Thông báo này được hãng đưa ra vào ngày 18/4 vừa qua, cơ sở chủ yếu ở hai khu vực mà Oracle hiện đang vận hành các trung tâm dữ liệu là Tokyo và Osaka.
10:00 | 26/04/2024