您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner
> 首頁 > 資安新聞

資安新聞

駭客對SAP舊漏洞展開攻擊

美國國土安全部(U.S. Department of Homeland Security, DHS)旗下的美國電腦緊急事件應變小組(United States Computer Emergency Readiness Team, US-CERT)於5/11對美國企業發出警告,ERP大廠軟體SAP一項舊漏洞遭到開採攻擊,至少已有36家企業受害。 US-CERT指出,這項漏洞出現在SAP NetWeaver Application Server Java平台內建的Invoker Servlet中。這項漏洞一經攻擊,將讓未具權限的遠端駭客取得SAP平台完整權限,得以存取全權控制企業資訊及流程,甚至存取到其他系統。

雖然SAP早在2010年已經修補這項漏洞,然而有許多組態不當或未升級的SAP系統受到影響。但美國國土安全部表示,至少有36家美國企業已經受害。由於SAP Java平台是SAP商用系統及技術元件的基礎技術堆疊,因此影響產品十分廣泛,包括SAP ERP、CRM、PLM、NetWeaver Business Warehouse、Business Intelligence等17項關鍵系統。所幸這項漏洞位在SAP應用層,因此並不影響執行SAP系統的作業系統及資料庫。

像SAP、Oracle這類商務系統擁有重要資訊,一旦被入侵往往伴隨著重大財務損失。US-CERT建議SAP系統管理員儘速部署SAP 安全公告Security Note 1445998,關閉Invoker Servlet。此外也最好掃瞄系統是否有組態不當或未安裝修補程式的漏洞。

Reference

資料來源:

https://www.us-cert.gov/ncas/alerts/TA16-132A

http://www.v3.co.uk/v3-uk/news/2457773/hackers-exploiting-six-year-old-sap-software-flaw-warns-us-cert

http://www.ithome.com.tw/news/105896

行政院國家資通安全會報技術服務中心整理

Publish Date
2016/5/27 0:00:00