美國國土安全部轄下的電腦緊急應變小隊日前發出警告,指 SAP 一個六年已被修複的漏洞正被人用作攻擊。據資訊安全公司指,已知有 36 間從事通訊、公用事業、汽車和製鋼的企業因該漏洞而受到入侵,但它們只是冰山一角。
美國國土安全部轄下的電腦緊急應變小隊(US-CERT)於周三發出警告,指 SAP 一個六年已被修複的漏洞正被利用,如果系統沒有修複好,黑客透過 Invoker Servlet 取得控制權;這是 US-CERT 今年以來僅有發出的三個警告之一。
部分企業依賴舊 SAP 系統致問題持續
為企業提供 SAP 安全方案的資安公司 Onapsis 指,由 2013 年開始有人在一個華語網上論壇講述如何利用 SAP 系統的漏洞入侵系統,並確認有 36 間企業受影響,當中包括通訊、公用事業、汽車和製鋼行業,涉及著名中國公司和海外的合資公司。Onapsis 其後亦發現美國、德國和英國的顧客有機會受影響,但拒絕透露名稱。Onapsis 稱,該 36 間企業只是冰山一角。
SAP 指該個漏洞在六年前就被修複,自此旗下的產品再沒有這個漏洞;不過 SAP 承認,更新後會對部分依賴舊系統的客人造成影響,因此他們會繼續使用有漏洞的舊系統,使問題持續。
Source : Reuters