SAP已知4000多个漏洞,Oracle有5000多个漏洞

摘要:两家网络安全公司告诉路透社,由于黑客钻管理软件中旧安全漏洞的空子,至少十几家公司和政府机构已被黑客盯上,另外数千家组织面临数据泄露的风险。

SAP已知4000多个漏洞,Oracle有5000多个漏洞

研究报告警报,SAP 和 Oracle 商业管理软件被黑客攻击的威胁不断增加

  • 美国国土安全部准备基于一份报告发布安全警报,该报告列出了来自两大软件开发商 Oracle 和 SAP 的成千上万未打补丁的商业系统面临的安全风险。

  • 研究人员表示,由于未安装补丁或者未采取 Oracle 或 SAP 建议的其他安全措施,两家政府机构以及媒体、能源和金融等行业的多家公司的系统已遭到了攻击。

  • 据报告声称,SAP 软件中的 4000 多个已知漏洞和 Oracle 软件中的 5000 多个已知漏洞构成了安全威胁,运行这些软件的政府部门和企业组织认为修复起来成本过高的旧系统尤其岌岌可危。

两家网络安全公司告诉路透社,由于黑客钻管理软件中旧安全漏洞的空子,至少十几家公司和政府机构已被黑客盯上,另外数千家组织面临数据泄露的风险。

因 SAP 或 Oracle 而遭到攻击的案例,以时间表为序:

SAP已知4000多个漏洞,Oracle有5000多个漏洞

研究人员表示,美国国土安全部准备基于一份报告发布安全警报,该报告列出了来自两大软件开发商 Oracle 和 SAP 的成千上万未打补丁的商业系统面临的安全风险,因而让黑客得以窃取公司机密。

美国国土安全部拒绝发表评论,路透社无法立即证实独立消息来源的警告。

Onapsis 和 Digital Shadows 这两家安全公司的专家表示,由于未安装补丁或者未采取 Oracle 或 SAP 建议的其他安全措施,两家政府机构以及媒体、能源和金融等行业的多家公司的系统已遭到了攻击。

这两家公司告诉路透社,来自美国国土安全部计算机紧急响应小组(US-CERT)的安全警报包含企业组织可以采取的一些措施,以识别易受攻击的系统,并且堵住长期存在的安全缺口。

这个威胁之所以令人担忧,是由于公司企业经常将高度敏感的数据(包括财务报告、生产秘密和信用卡号)存储在企业资源规划(ERP)这类易受攻击的产品中,并且存储在用来管理客户、员工和供应商的相关应用软件中。

Onapsis 的首席执行官马里安诺·努内兹(Mariano Nunez)告诉路透社,其中许多问题可以追溯到十年或更久以前,但这项新的研究显示,黑客活动分子、网络犯罪分子和政府间谍机构针对这些问题大做文章的兴趣在迅速加大。

他说:“这些攻击者已准备好对几年前就有的风险大做文章,这些风险让攻击者得以在不被发现的情况下全面访问 SAP 系统和 Oracle 系统。对于首席安全官和首席执行官来说,形势应该紧迫得多。”

SAP 和 Oracle 拒绝立即发表评论。

努内兹表示,美国政府部门发布安全警报不是没有先例:早在 2016 年,Onapsis 发现了中国黑客打算钻众多公司使用的过时软件的空子这个阴谋后,美国国土安全部门就向 SAP 客户发出了警报。

努内兹表示,企业组织有时将针对 ERP 软件部署安全修复程序的工作推迟数月甚至数年,主要担心这么做可能会破坏软件支持的关键业务职能,包括制造、销售和财务。

风险还来自技术性的安装错误或这种日益盛行的做法:将传统的后台业务系统连接到云端,以便覆盖移动用户或在线用户。

Onapsis 和互联网监测公司 Digital Shadows 在最新的研究报告中发现,在 3000 多家知名的公司企业、政府机构和大学中,已安装的大约 17000 套 SAP 软件和 Oracle 软件暴露在互联网面前。

报告的作者警告称,至少 10000 台服务器在运行配置不正确的软件,这些软件可能让这些服务器面临利用已知的 SAP 或 Oracle 漏洞的直接攻击。

据 Onapsis 和 Digital Shadows 周三发布的报告声称,SAP 软件中的 4000 多个已知漏洞和 Oracle 软件中的 5000 多个已知漏洞构成了安全威胁,运行这些软件的政府部门和企业组织认为修复起来成本过高的旧系统尤其岌岌可危。

Digital Shadows 对谷歌搜索、社交媒体聊天内容和暗网进行了一番梳理,他们发现中国和俄罗斯黑客论坛上有帖子在讨论如何钻特定的 SAP 和 Oracle 漏洞的空子。

Onapsis 和 Digital Shadows 的 ERP 研究报告可从 https://goo.gl/pWbz3Q 下载。

来自: mp.weixin.qq.com

扩展阅读

一文了解甲骨文云计算全景,看“狂人”拉里如何重新洗牌云产业
十大关系数据库SQL注入工具一览
用微软技术会比免费软件更划算?
Oracle进击云计算,搅局者or生力军?
2014年Hadoop大事件盘点

为您推荐

SAP已知4000多个漏洞,Oracle有5000多个漏洞
用微软技术会比免费软件更划算?
一文了解甲骨文云计算全景,看“狂人”拉里如何重新洗牌云产业
古开元“被黑客”:躺着中枪 报道不实
OpenSSL明日将发布安全补丁,修复未披露的0day高危漏洞

更多

SAP
Oracle
IT业界