หน้าแรก Applications พบบั๊กร้ายแรงมากใน SAP อาจให้คนร้ายเข้ามาควบคุมเซิร์ฟเวอร์องค์กรได้

พบบั๊กร้ายแรงมากใน SAP อาจให้คนร้ายเข้ามาควบคุมเซิร์ฟเวอร์องค์กรได้

แบ่งปัน


ทาง SAP ได้ออกแพทช์อุดช่องโหว่ร้ายแรงในส่วนของ LM Configuration Wizard ใน NetWeaver Application Server (AS) ซึ่งเป็นแพลตฟอร์มจาวา ช่องโหว่นี้เปิดให้ผู้โจมตีเข้ามาควบคุมแอพพลิเคชั่น SAP ได้โดยไม่ต้องยืนยันตัวตน

บั๊กรายการนี้ถูกเรียกชื่อว่า RECON อยู่ภายใต้รหัส CVE-2020-6287 ถูกจัดคะแนนความร้ายแรงตามเกณฑ์ของ CVSS ถึง 10 เต็ม 10 ซึ่งมีโอกาสที่จะกระทบกับลูกค้า SAP จำนวนมากถึง 40,000 รายเลยทีเดียว

ช่องโหว่นี้ถูกค้นพบโดยบริษัทด้านความปลอดภัยทางไซเบอร์ Onapsis ถ้าผู้โจมตีใช้ประโยชน์จากช่องโหว่นี้ได้แล้ว ก็จะสามารถเข้าถึงระบบ SAP เป้าหมายได้อย่างเต็มที่จากระยะไกล โดยไม่ต้องผ่านกระบวนการยืนยันตัวตน

โดยเป็นการสร้างบัญชีผู้ใช้ที่มีสิทธิ์ระดับสูงขึ้นมา พร้อมทั้งสามารถรันคำสั่งบนระบบปฏิบัติการด้วยสิทธิ์ผู้ใช้บริการ SAP ที่สามารถเข้าถึงฐานข้อมูลได้อย่างไร้ขีดจำกัด พร้อมทั้งดำเนินการเกี่ยวกับระบบอย่างเช่นการสั่งปิดแอพพลิเคชั่น SAP ได้ด้วย

ที่มา : THN