SAP泄漏泄漏工厂软件的补丁
SAP的2月回合的关键软件更新包括SAP制造集成和智力(XMII),可能对黑客和间谍感兴趣。
该软件广泛用于制造业,将工厂地板系统连接到业务应用程序进行性能监控 - 但它意味着对谁能看到未被执行的内容的限制。
XMII的修补程序修复了一个目录遍历漏洞,SAP在安全说明2230978中报告。
周三表示,该漏洞可能允许攻击者访问SAP文件服务器上的任意文件和目录,包括应用程序源代码,配置和系统文件以及与其他关键技术和业务相关信息。
虽然漏洞不会允许攻击者直接混淆生产,但它可以帮助他们获得更多关键系统。
“影响SAP MII的漏洞可以作为多阶段攻击的起点,其旨在控制植物设备和制造系统,”欧洲CTO Alexander Polyakov在关于贴片的博客文章中写道。他说,橄榄渣研究人员展示了对最近的黑螺哈特大会的石油和天然气公司的攻击。他说,这种脆弱性是黑客进入工厂地板的另一种方式,从他们可以攻击ICS和SCADA系统。
XMII修复尚未成为第23个漏洞中最重要的SAP修补,常见漏洞评分系统中仅为4.0。
CVSS基本规模的最高评分漏洞评分为10分,满分为10分:erpscan说,TREX中的一个错误,SAP NetWeaver的搜索引擎组件允许未经授权执行OS命令,允许攻击者访问任意文件和其他信息。SAP在安全说明2273881中处理它。
根据Polyakov的说法,NetWeaver也是许多SAP的其他补丁的焦点,在其J2EE应用程序安全中具有缺陷。
SQL技能在业务中付出良好 - 以及犯罪,似乎是第二个关键的补丁(具有6.8的CVSS得分)是在SAP中的SQL注射漏洞(通用描述,发现和集成) ) 服务器。它允许攻击者使用特制的SQL查询来读取,修改,也许甚至会破坏数据库。
Polyakov推荐修补所有SAP漏洞,而不仅仅是最高的分机器。