重大漏洞频传。SAP本周三公告将修补一个位于NetWeaver AS Java中一项组件的重大安全漏洞,该漏洞可能让黑客入侵SAP窃取或篡改财务、客户及供应商信息或员工个人信息,风险评分来到最高分的10分。
这项漏洞由安全厂商Onapsis发现并通报SAP。它出在NetWeaver AS Java中的LM组态精灵(configuration wizard)对外部连接验证不足,可让攻击者借由创建恶意HTTP连接开采,进而接管整个SAP系统。安全公司将该漏洞命名为RECON(Remotely Exploitable Code On NetWeaver)。
一旦攻击者成功开采,未授权攻击者将可取得SAP系统的完整控制权。他能创建最高权限的SAP用户账号、绕过所有访问管控,如权责分工、身份管理或治理/风险/遵法(GRC),而得以修改财务信息、窃取员工个人信息、或供应商、客户信息,还能毁损资料、删改访问log及种种行为。
RECON漏洞影响所有跑在SAP NetWeaver Java层上的所有应用,包括SAP ERP、Enterprise Portal、SCM、CRM、Process Integration(PI)、及SAP Solution Manager,全球受波及的企业超过4万家。
SAP已在本周稍早发布修补程序及安全公告。SAP目前尚未观测到有攻击漏洞的情形发生,但基于RECON的风险,呼吁企业用户应尽快安装修补程序。
美国国土安全部网络安全及基础架构安全局(CISA)周三建议,若企业未能在24小时内修补漏洞,应密切监控NetWeaver AS上的异常活动迹象。