ลอนดอน (รอยเตอร์) – บริษัท มากถึง 50,000 แห่งที่ใช้ซอฟต์แวร์ SAP มีความเสี่ยงที่จะถูกแฮ็กมากขึ้นหลังจากนักวิจัยด้านความปลอดภัยพบวิธีใหม่ในการใช้ประโยชน์จากช่องโหว่ของระบบที่ไม่ได้รับการปกป้องอย่างเหมาะสมและเผยแพร่เครื่องมือออนไลน์SAP ยักษ์ใหญ่ซอฟต์แวร์ของเยอรมันกล่าวว่าได้ออกคำแนะนำเกี่ยวกับวิธีกำหนดค่าการตั้งค่าความปลอดภัยอย่างถูกต้องในปี 2552 และ 2556 แต่ข้อมูลที่รวบรวมโดยบริษัทรักษาความปลอดภัย Onapsis แสดงให้เห็นว่า 90%
ของระบบ SAP ที่ได้รับผลกระทบไม่ได้รับการปกป้องอย่างเหมาะสม
“โดยพื้นฐานแล้ว บริษัทสามารถหยุดชะงักได้ภายในไม่กี่วินาที” มาริอาโน นูเนซ ประธานเจ้าหน้าที่บริหารของ Onapsis กล่าว ซึ่งบริษัทเชี่ยวชาญด้านการรักษาความปลอดภัยแอปพลิเคชันทางธุรกิจ เช่น แอปพลิเคชันที่สร้างโดย SAP และคู่แข่งของออราเคิล
“ด้วยการหาประโยชน์เหล่านี้ แฮ็กเกอร์สามารถขโมยทุกอย่างที่อยู่ในระบบ SAP ของบริษัท และแก้ไขข้อมูลใดๆ ที่นั่นได้ ดังนั้นเขาจึงสามารถทำการฉ้อโกงทางการเงิน ถอนเงิน หรือเพียงแค่ก่อวินาศกรรมและขัดขวางระบบ”
SAP กล่าวว่า: “SAP ขอแนะนำอย่างยิ่งให้ติดตั้งโปรแกรมแก้ไขความปลอดภัยเมื่อมีการเผยแพร่”
ซอฟต์แวร์ SAP ถูกใช้โดยบริษัทมากกว่า 2,000 อันดับแรกของโลกมากกว่า 90 เปอร์เซ็นต์เพื่อจัดการทุกอย่างตั้งแต่การจ่ายเงินเดือนพนักงานไปจนถึงการจัดจำหน่ายผลิตภัณฑ์และกระบวนการทางอุตสาหกรรม
ผู้เชี่ยวชาญด้านความปลอดภัยกล่าวว่าการโจมตีระบบเหล่านั้นอาจสร้างความเสียหายอย่างใหญ่หลวง ทั้งต่อองค์กรที่ตกเป็นเหยื่อและห่วงโซ่อุปทานที่กว้างขึ้น ลูกค้า SAP แจกจ่ายอาหารทั่วโลกรวมกัน 78 เปอร์เซ็นต์และ 82 เปอร์เซ็นต์ของอุปกรณ์ทางการแพทย์ทั่วโลก บริษัท กล่าวในเว็บไซต์
Mathieu Geli ที่ปรึกษาด้านความปลอดภัยของ Sogeti หนึ่งในนักวิจัยที่พัฒนาช่องโหว่ที่เผยแพร่ทางออนไลน์เมื่อเดือนที่แล้ว กล่าวว่าปัญหา
ดังกล่าวเกี่ยวข้องกับวิธีที่แอปพลิเคชัน SAP พูดคุยกันภายในบริษัท
หากการตั้งค่าความปลอดภัยของบริษัทไม่ได้รับการกำหนดค่าอย่างถูกต้อง เขากล่าวว่าแฮ็กเกอร์สามารถหลอกให้แอปพลิเคชันคิดว่าเป็นผลิตภัณฑ์ SAP อื่นและเข้าถึงได้อย่างเต็มที่โดยไม่ต้องใช้ข้อมูลรับรองการเข้าสู่ระบบใด ๆ
SAP กล่าวว่าการรักษาความปลอดภัยของลูกค้ามีความสำคัญ และช่องโหว่ต่างๆ แสดงให้เห็นว่าลูกค้าจำเป็นต้องดำเนินการแก้ไขที่แนะนำเมื่อมีการเผยแพร่ “การรักษาความปลอดภัยเป็นกระบวนการทำงานร่วมกัน ดังนั้นลูกค้าและพันธมิตรของเราจำเป็นต้องปกป้องระบบของพวกเขาด้วย” คำแถลงระบุในแถลงการณ์
นักวิจัยที่ Onapsis กล่าวเมื่อวันพฤหัสบดีว่าพวกเขากำลังตั้งชื่อการหาประโยชน์ “10KBLAZE” เนื่องจากภัยคุกคามที่พวกเขาตั้งขึ้นต่อ “แอปพลิเคชันที่สำคัญต่อธุรกิจ” ซึ่งหากถูกแฮ็กอาจส่งผลให้เกิด “การแสดงข้อมูลที่ขัดต่อข้อเท็จจริง” ในการยื่นเอกสารทางการเงินของสหรัฐฯ
Nunez กล่าวว่าเขาจะแบ่งปันความสามารถของบริษัทของเขาในการตรวจหาช่องโหว่กับผู้จำหน่ายระบบรักษาความปลอดภัยรายอื่นๆ เพื่อช่วยปกป้องผู้ใช้ SAP ทั้งหมดจากการโจมตีที่อาจเกิดขึ้นในอนาคต
Geli แห่ง Sogeti กล่าวว่าเขาสร้างช่องโหว่เพื่อพิสูจน์อันตรายของช่องโหว่และเผยแพร่ทางออนไลน์เพื่อช่วยผู้เชี่ยวชาญในการทดสอบความปลอดภัยของระบบ SAP
เขากล่าวว่ามีความเสี่ยงที่อาจถูกใช้โดยผู้ประสงค์ร้าย แต่ไม่ใช่คนที่ไม่มีความสามารถทางเทคนิค และมันสำคัญกว่าสำหรับบริษัทในการอัปเดตการตั้งค่าความปลอดภัย
“เราแค่ชี้ให้เห็นบางอย่างที่ได้รับการแก้ไขแล้วสำหรับ SAP แต่ลูกค้าอาจจะมาช้าหน่อย” เขากล่าว “เรากำลังพยายามผลักดันสิ่งนั้นและพูดว่า: ‘นี่เป็นเรื่องสำคัญ คุณต้องแก้ไขมัน’”
(การรายงานโดย Jack Stubbs; เรียบเรียงโดย Georgina Prodhan)
Credit : puntoperpunto.net rocteryx.com experienceitpublisher.com tagheuerwatch.net skyskraperengel.net rompingrat.com rupert-rampage.com shopcoachfactory.net coachsfactoryoutletmns.net torviscas.com