SAP已知4000多個漏洞，Oracle有5000多個漏洞

研究報告警報，SAP 和 Oracle 商業管理軟件被黑客攻擊的威脅不斷增加

• 美國國土安全部準備基于一份報告發布安全警報，該報告列出了來自兩大軟件開發商 Oracle 和 SAP 的成千上萬未打補丁的商業系統面臨的安全風險。

• 研究人員表示，由于未安裝補丁或者未采取 Oracle 或 SAP 建議的其他安全措施，兩家政府機構以及媒體、能源和金融等行業的多家公司的系統已遭到了攻擊。

• 據報告聲稱，SAP 軟件中的 4000 多個已知漏洞和 Oracle 軟件中的 5000 多個已知漏洞構成了安全威脅，運行這些軟件的政府部門和企業組織認為修復起來成本過高的舊系統尤其岌岌可危。

兩家網絡安全公司告訴路透社，由于黑客鉆管理軟件中舊安全漏洞的空子，至少十幾家公司和政府機構已被黑客盯上，另外數千家組織面臨數據泄露的風險。

因 SAP 或 Oracle 而遭到攻擊的案例，以時間表為序：

研究人員表示，美國國土安全部準備基于一份報告發布安全警報，該報告列出了來自兩大軟件開發商 Oracle 和 SAP 的成千上萬未打補丁的商業系統面臨的安全風險，因而讓黑客得以竊取公司機密。

美國國土安全部拒絕發表評論，路透社無法立即證實獨立消息來源的警告。

Onapsis 和 Digital Shadows 這兩家安全公司的專家表示，由于未安裝補丁或者未采取 Oracle 或 SAP 建議的其他安全措施，兩家政府機構以及媒體、能源和金融等行業的多家公司的系統已遭到了攻擊。

這兩家公司告訴路透社，來自美國國土安全部計算機緊急響應小組（US-CERT）的安全警報包含企業組織可以采取的一些措施，以識別易受攻擊的系統，并且堵住長期存在的安全缺口。

這個威脅之所以令人擔憂，是由于公司企業經常將高度敏感的數據（包括財務報告、生產秘密和信用卡號）存儲在企業資源規劃（ERP）這類易受攻擊的產品中，并且存儲在用來管理客戶、員工和供應商的相關應用軟件中。

Onapsis 的首席執行官馬里安諾·努內茲（Mariano Nunez）告訴路透社，其中許多問題可以追溯到十年或更久以前，但這項新的研究顯示，黑客活動分子、網絡犯罪分子和政府間諜機構針對這些問題大做文章的興趣在迅速加大。

他說：“這些攻擊者已準備好對幾年前就有的風險大做文章，這些風險讓攻擊者得以在不被發現的情況下全面訪問 SAP 系統和 Oracle 系統。對于首席安全官和首席執行官來說，形勢應該緊迫得多。”

SAP 和 Oracle 拒絕立即發表評論。

努內茲表示，美國政府部門發布安全警報不是沒有先例：早在 2016 年，Onapsis 發現了中國黑客打算鉆眾多公司使用的過時軟件的空子這個陰謀后，美國國土安全部門就向 SAP 客戶發出了警報。

努內茲表示，企業組織有時將針對 ERP 軟件部署安全修復程序的工作推遲數月甚至數年，主要擔心這么做可能會破壞軟件支持的關鍵業務職能，包括制造、銷售和財務。

風險還來自技術性的安裝錯誤或這種日益盛行的做法：將傳統的后臺業務系統連接到云端，以便覆蓋移動用戶或在線用戶。

Onapsis 和互聯網監測公司 Digital Shadows 在最新的研究報告中發現，在 3000 多家知名的公司企業、政府機構和大學中，已安裝的大約 17000 套 SAP 軟件和 Oracle 軟件暴露在互聯網面前。

報告的作者警告稱，至少 10000 臺服務器在運行配置不正確的軟件，這些軟件可能讓這些服務器面臨利用已知的 SAP 或 Oracle 漏洞的直接攻擊。

據 Onapsis 和 Digital Shadows 周三發布的報告聲稱，SAP 軟件中的 4000 多個已知漏洞和 Oracle 軟件中的 5000 多個已知漏洞構成了安全威脅，運行這些軟件的政府部門和企業組織認為修復起來成本過高的舊系統尤其岌岌可危。

Digital Shadows 對谷歌搜索、社交媒體聊天內容和暗網進行了一番梳理，他們發現中國和俄羅斯黑客論壇上有帖子在討論如何鉆特定的 SAP 和 Oracle 漏洞的空子。

Onapsis 和 Digital Shadows 的 ERP 研究報告可從 https://goo.gl/pWbz3Q 下載。

來自: mp.weixin.qq.com