شرکت SAP برای اصلاح نقص‌های حیاتی نرم‌افزاری وارد عمل شد

SAP یک به‌روزرسانی نرم‌افزاری حیاتی را منتشر کرد که ۲۳ حفره‌ی امنیتی را در نرم‌افزار تولید صنعتی این شرکت پوشش می‌دهد.
SAP یا اس‌آ‌پ، یک شرکت نرم‌افزاری آلمانی است که عمده‌ی شهرتش را مدیون تولید نرم‌افزارهای سازمانی در زمینه‌ی مدیریت عملیات تجاری و روابط با مشتریان است.
این اصلاحیه‌ی نرم‌افزار تولید صنعتی، به آسیب‌پذیری حیاتی در نرم‌افزار یکپارچه‌سازی و اطلاعات تولیدی اس‌آپ (xMII) رسیدگی می‌کند.
این محصول پلی میان ERP (نرم‌افزار برنامه‌ریزی احتیاجات مواد) و دیگر برنامه‌های تجاری و بین دستگاه‌های کف کارخانه و OT (فن‌آوری عملیاتی) برقرار می‌کند. این فن‌آوری به صورتی گسترده در صنایع تولیدی و همین‌طور صنایع اکتشاف نفت و گاز و دیگر صنایع مربوط به انرژی استفاده می‌شود.
آسیب‌پذیری پیمایش دایرکتوری در SAP xMII که هنوز رفع نشده است، ابزارهای بالقوه‌ای را برای نفوذگران فراهم می‌کنند تا به داخل کارخانه نفوذ و شبکه‌های OT نفوذ کنند جایی که ICS (سامانه‌های کنترل صنعتی) و سامانه‌‌های SCADA قرار دارند.
یک مهاجم ماهر می‌تواند از نقص پیمایش دایرکتوری بهره گرفته تا دسترسی به پرونده‌ها و دایرکتوری‌های قرار داده شده در پرونده‌‌های سامانه‌ای کارگزار SAP که شامل کدهای منبع نرم‌افزار و پرونده‌‌های سامانه‌ای و پیکربندی می‌شوند، را تضمین کند.
الکساندر پولیاکوف مدیر فن‌آوری اطلاعات و متخصص خدمات امنیتی شرکت‌های SAP و اوراکل با نام ERPScan گفته است: «هرگونه آسیب‌پذیری که بر SAP MII تأثیر بگذارد، می‌تواند به عنوان یک نقطه‌ی شروع برای حملات چندمرحله‌ای برای هدف گرفتن و کنترل دستگاه‌ها و سامانه‌های تولیدی کارخانه استفاده شود. سناریوهای حمله‌ی مشابهی توسط ما در کنفرانس کلاه‌سیاه‌ها به ویژه در مورد صنایع نفت و گاز نشان داده شده‌اند.»
بیشتر آسیب‌پذیری‌های اصلاح شده در نرم‌افزار امنیتی SAP NetWeaver’s J۲EE قرار داشته‌اند. شایع‌ترین نوع آسیب‌پذیری‌، تزریق کد و عدم بررسی مجوز بوده است. چهار آسیب‌پذیری اصلاح‌شده که شامل نقص حیاتی xMII نیز می‌شوند، توسط محققان ERPScan به نام‌های دیمیتری چاستوهین و واهان واردانیان کشف شده‌اند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.