SAP záplatuje děravý podnikový software včetně vysoce závažných bezpečnostních chyb

Chyba v software SAP Manufacturing Integration and Intelligence (xMII) umožňuje útočníkům neoprávněně získat informace z výrobních systémů. Další zranitelnosti umožňují neoprávněný přístup k souborům, spouštění příkazů a manipulaci s databázemi. O chyby se kvůli zranitelnostem již začali zajímat hackeři a kyberšpioni.

SAP záplatuje děravý podnikový software včetně vysoce závažných bezpečnostních chyb


Únorová nadílka oprav závažných chyb od SAPu obsahuje mimo jiné záplaty pro software Manufacturing Integration and Intelligence (xMII), o nějž se kvůli zranitelnostem začali zajímat hackeři a kyberšpioni.

Tento software hojně využívají průmyslové podniky k propojení výrobních systémů s obchodními aplikacemi pro sledování výkonnosti – avšak kvůli chybám nebyla vynucována pravidla omezující přístup k informacím pro různé uživatele.

Aktualizace xMII opravuje zranitelnost vůči útoku typu directory traversal, která umožňovala útočníkům proniknout do adresářů na fileserveru SAP a získat citlivé soubory včetně zdrojových kódů aplikací, konfiguračních a systémových souborů a dalších technických a obchodních informací.

I když chyba neumožňovala útočníkům přímo narušit výrobu, mohli s ji zneužít jako první krok vícefázového útoku proti důležitějším výrobním systémům ICS a SCADA.

Oprava xMII však nebyla mezi 23 aktualizacemi hodnocená jako nejdůležitější – SAP jí přidělil pouze 4 body z 10. Nejvýše na žebříčku závažnosti se umístila se 7,5 bodu chyba ve vyhledávacím jádře Trex  systému SAP NetWeaver, která umožňovala neoprávněné provádění systémových příkazů včetně spouštění libovolných souborů.

Na druhém místě byla zranitelnost vůči SQL injection v serveru SAP UDDI (Universal Description, Discovery and Integration). Pomocí speciálně upravených SQL dotazů umožňovala útočníkům číst, měnit a možná i mazat databáze.

Zdroj: IDG News Service


Úvodní foto: SAP Media Library




Komentáře