ایتنا- هشت اشکال در محصولات SAP وجود دارد که میتواند پیامدهای جدی برای سیستمهای آسیب پذیر داشته باشد.
شنبه ۱۵ مهر ۱۳۹۶ ساعت ۱۴:۳۴
آسیبپذیریهایSAP میتواند سرورها را آفلاین کند
این شرکت، ژوئن ۱۹۷۲ توسط پنج تن از مهندسان سابق IBM کار خود را در شهر مانهیام آلمان -تحت عنوان «تحلیل سیستمها و توسعه برنامهها»- آغاز نمود. پس از مدتی، این عنوان را به «سیستمها، محصولات و برنامههای پردازش داده» تغییر داد و اولین محصول خود را در ۱۹۷۳ تولید کرد. از همان زمان محصولات این شرکت به «راهکارهای SAP» مشهور شد.
به گزارش ایتنا از رایورز به نقل از زد.دی نت، هشت آسیبپذیری در محصولات SAP یافت شده است که میتواند منجر به نشت اطلاعات شود و امکان آفلاین شدن کلیه سرورها را فراهم سازد. محققان امنیتی پازیتیو تکنولوجیز اذعان داشتند که اشکالاتی در انواع راهکارهای SAP کشف شده است که تمامی آنها میتواند به نوعی خطرناک باشد و شرکتهای فعال در سراسر جهان -که از این سیستم استفاده میکنند- را تحت تأثیر قرار دهد.
یکی از مهمترین اشکالات سرور که به دلیل عدم وجود اعتبارسنجی XML به وجود آمده است، در وب داینپرو فلش آیلند پیدا شده است و به هکرها این امکان را میدهد که بدون نیاز به احراز هویت، یک حمله XXE صورت دهند و فایلهای روی سرور SAP مانند کلیدهای رمزگذاری خصوصی و دیگر اطلاعات مهم کسبوکار را دریافت کنند.
این آسیبپذیری میتواند برای یک حمله منع سرویس (DOS) مورد استفاده قرار گرفته و سرورها را آفلاین کند. آسیبپذیری دیگری که شناسایی شد، پرتال SAP Enterprise بود. نبود اعتبارسنجی XML به مهاجمان اجازه داد که فایلهای محلی را از سرور SAP دریافت کنند. این موضوع باعث میشود که اطلاعاتی نظیر کلیدهای رمزگذاری شخصی، رمز عبور سیستمعامل و دادههای سازمانی حساس به سرقت برود.
پژوهشگران اذعان داشتند: «هکرهایی که خارج از شبکه محلی هستند، نمیتوانند به سیستمعامل و پایگاهداده دسترسی داشته باشند، اما میتوانند اطلاعات لازم برای هک حسابهای موجود روی سرویسهای باز دیگر را به کار برند یا یک حمله منع سرویس توزیع شده صورت دهند.
کد مطلب: 50418
