SAP Releases ‘Hot News’ Security Notes on First Patch Day of 2019

SAP ปล่อยอัพเดทแพทช์ด้านความปลอดภัยแรกของปี 2019 ครอบคลุมช่องโหว่ 11 รายการ มี 2 รายการที่ต้องได้รับการแก้ไขโดยด่วนที่สุด

ช่องโหว่สำคัญที่ต้องได้รับการแก้ไข ถูกพบในผลิตภัณฑ์ SAP Cloud Connector (CVE-2019-0246 และ CVE-2019-0247) มีค่าความรุนแรง 9.3 หากโจมตีสำเร็จจะส่งผลให้ผู้โจมตีสามารถอ่าน, แก้ไข หรือลบข้อมูลได้ รวมทั้งสามารถเข้าถึงการทำงานในส่วนสำคัญๆ ที่ต้องมีสิทธิ์ admin เท่านั้นได้ด้วย ผู้โจมตีสามารถใช้ช่องโหว่ในการสั่งรันคำสั่งระดับระบบปฏิบัติการ (OS Command) ตามสิทธิ์ของบริการ (SAP Service) ที่ได้รับเมื่อโจมตีสำเร็จ รวมทั้งสามารถเข้าถึง file system สำคัญที่อยู่ใน SAP server และเข้าถึง source code ของแอพพลิเคชั่น และ configuration ได้

ช่องโหว่ถัดมามีความรุนแรง 9.1 (CVE-2019-0249) ถูกพบใน Landscape Management ของ SAP ส่งผลให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่สำคัญของระบบ ซึ่งสามารถถูกนำไปใช้เพื่อโจมตีระบบต่อไปได้

นอกจากนี้มีช่องโหว่อื่นๆ ที่มีความรุนแรงระดับสูง (High) 1 รายการ เป็นช่องโหว่ในส่วนของ Missing Authorization ใน SAP BW / 4HANA นอกเหนือจากนี้เป็นช่องโหว่ความรุนแรงระดับกลาง (Medium) ทั้งหมด

ผู้ใช้งานที่มีการใช้ผลิตภัณฑ์ของ SAP อยู่ควรตรวจสอบข้อมูลจากเว็บไซต์ทางการ และทำการอัพเดทให้เป็นเวอร์ชั่นล่าสุดทันที

ข้อมูลเพิ่มเติม: https://erpscan.