SAP ได้ออกอัปเดตความปลอดภัยประจำเดือนธันวาคม โดยแก้ไขช่องโหว่ 14 รายการในผลิตภัณฑ์ต่าง ๆ รวมถึงช่องโหว่ระดับ Critical 3 รายการ
สำหรับช่องโหว่ที่มีระดับความรุนแรงสูงสุด (CVSS Score 9.9) คือ CVE-2025-42880 ซึ่งเป็นช่องโหว่ Code Injection ที่ส่งผลกระทบต่อ SAP Solution Manager ST 720 (more…)
SAP ออกแพตซ์อัปเดตความปลอดภัยประจำเดือนพฤศจิกายน เพื่อแก้ไขช่องโหว่หลายรายการ รวมถึงช่องโหว่ที่มีระดับความรุนแรงสูงสุดใน SQL Anywhere Monitor Non-GUI และช่องโหว่ code injection ระดับ Critical ในแพลตฟอร์ม Solution Manager
(more…)
คณะกรรมาธิการยุโรปกำลังดำเนินการสอบสวน SAP ในประเด็นที่เกี่ยวข้องกับการแข่งขันในบริการสนับสนุนหลังการขาย สำหรับซอฟต์แวร์ ERP ที่ติดตั้งภายในองค์กร
(more…)
พบ Exploit code ที่รวมช่องโหว่ด้านความปลอดภัยระดับ Critical สองรายการใน SAP NetWeaver ซึ่งได้รับการแก้ไขไปแล้ว ส่งผลให้องค์กรต่าง ๆ เสี่ยงต่อการถูกโจมตี และขโมยข้อมูล (more…)
ผู้โจมตีใช้ประโยชน์จากช่องโหว่ใน SAP NetWeaver ที่มีความรุนแรงระดับ Critical หมายเลข CVE-2025-31324 เพื่อทำการติดตั้งมัลแวร์ Auto-Color บน Linux ในการโจมตีทางไซเบอร์ต่อบริษัทเคมีแห่งหนึ่งในสหรัฐอเมริกา (more…)
ช่องโหว่ระดับ Critical ในระบบ SAP NetWeaver ที่เพิ่งถูกเปิดเผย กำลังถูกกลุ่มแฮ็กเกอร์ที่เกี่ยวข้องกับรัฐบาลจีนหลายกลุ่มใช้ในการโจมตีเครือข่ายของโครงสร้างพื้นฐานสำคัญในหลายประเทศ
(more…)
กลุ่มแฮ็กเกอร์ที่เชื่อมโยงกับจีนที่ชื่อว่า Chaya_004 ถูกพบว่ากำลังใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยที่ถูกเปิดเผยใหม่ใน SAP NetWeaver (more…)
SAP ผู้จำหน่ายซอฟต์แวร์ ERP ได้ประกาศการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ด้านความปลอดภัย 19 รายการ โดย 5 รายการ เป็นช่องโหว่ที่มีความรุนแรงระดับ critical โดยช่องโหว่ส่งผลกระทบต่อผลิตภัณฑ์ของ SAP จำนวนมาก แต่ช่องโหว่ 5 รายการที่มีความรุนแรงระดับ critical ได้ส่งผลโดยตรงกับ SAP Business Objects Business Intelligence Platform (CMC) และ SAP NetWeaver
SAP เป็นบริษัทจำหน่ายซอฟต์แวร์ ERP รายใหญ่ที่สุดในโลก โดยมีส่วนแบ่งการตลาด 24% ทั่วโลก โดยมีลูกค้า 425,000 รายใน 180 ประเทศ มากกว่า 90% ของบริษัทใน Forbes Global 2000 ใช้ผลิตภัณฑ์ของ SAP เช่น ERP, SCM, PLM และ CRM
ช่องโหว่ระดับ critical ที่ส่งผลกระทบต่อผลิตภัณฑ์ของ SAP
CVE-2023-25616 (คะแนน CVSS v3: 9.9 ระดับความรุนแรง critical) เป็นช่องโหว่ที่ส่งผลกระทบต่อ SAP Business Intelligence Platform ทำให้สามารถเข้าถึงทรัพยากรที่เข้าถึงได้เฉพาะ Privileged User เท่านั้น ช่องโหว่ดังกล่าวกระทบต่อเวอร์ชัน 420 และ 430
CVE-2023-23857 (คะแนน CVSS v3: 9.8 ระดับความรุนแรง critical) เป็นช่องโหว่ที่ส่งผลกระทบต่อ SAP NetWeaver AS สำหรับ Java เวอร์ชัน 7.50 ทำให้สามารถหลีกเลี่ยงการตรวจสอบสิทธิการเชื่อมต่อกับ open interface และ directory API ในการจัดการข้อมูล รวมถึงการ Denial-of-Service (DoS)
CVE-2023-27269 (คะแนน CVSS v3: 9.6 ระดับความรุนแรง critical) เป็นช่องโหว่ใน directory ที่ทำให้สามารถเขียนทับไฟล์ระบบได้ โดยไม่ต้องใช้สิทธิ Admin User ส่งกระทบต่อ SAP NetWeaver Application Server for ABAP เวอร์ชัน 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757 และ 791
CVE-2023-27500 (คะแนน CVSS v3: 9.6 ระดับความรุนแรง critical) เป็นช่องโหว่ใน directory ที่ทำให้สามารถโจมตีจากช่องโหว่ใน SAPRSBRO เพื่อเขียนทับไฟล์ระบบ ทำให้เกิดความเสียหายให้กับอุปกรณ์ปลายทางที่มีช่องโหว่ได้ ส่งผลกระทบต่อ SAP NetWeaver Application Server for ABAP เวอร์ชัน 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, และ 757
CVE-2023-25617 (คะแนน CVSS v3: 9.0 ระดับความรุนแรง critical) เป็นช่องโหว่ที่ทำให้สามารถเรียกใช้งานคำสั่งที่เป็นอันตรายจากระยะไกล (RCE) บนระบบปฏิบัติการโดยใช้ BI Launchpad, Central Management Console และ custom application บน java SDK ภายใต้เงื่อนไขบางอย่าง ส่งกระทบต่อ SAP Business Objects Business Intelligence Platform เวอร์ชัน 420 และ 430
โดย SAP แนะนำให้ผู้ดูแลระบบควรเร่งอัปเดตเพื่อแก้ไขช่องโหว่โดยเร็วที่สุด โดยเฉพาะช่องโหว่ 5 รายการที่มีความรุนแรงระดับ critical รวมไปถึงช่องโหว่ที่มีระดับความรุนแรงปานกลาง 10 รายการด้วย
ที่มา : bleepingcomputer
สำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้เพิ่มช่องโหว่ด้านความปลอดภัยของระบบ SAP เข้าสู่ Known Exploited Vulnerabilities Catalog โดยอิงจากหลักฐานที่เริ่มพบเหตุการณ์การโจมตีเกิดขึ้นในปัจจุบัน
ช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-22536 ซึ่งมี CVSS สูงสุดที่ 10.0 และได้รับการแก้ไขไปแล้วจากทาง SAP ในช่วงของการอัปเดต Patch Tuesday ในเดือนกุมภาพันธ์ 2022
โดยเป็นช่องโหว่ HTTP request smuggling และส่งผลกระทบต่อ SAP เวอร์ชันต่อไปนี้
SAP Web Dispatcher (Versions - 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86, 7.87)
SAP Content Server (Version - 7.53)
SAP NetWeaver and ABAP Platform (Versions - KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT, 7.49)
ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถเพิ่มข้อมูลใน request ของเหยื่อด้วยข้อมูลที่ถูกสร้างขึ้น เพื่อให้สามารถเรียกใช้งานฟังก์ชัน หรือฝังข้อมูลที่เป็นอันตรายไว้กับเว็บแคชได้" CISA กล่าวในการแจ้งเตือน
"ด้วย HTTP request ธรรมดา ไม่ต่างจาก request ปกติอื่นๆ ก็เพียงพอที่ทำให้สามารถโจมตีได้สำเร็จ” Onapsis ซึ่งเป็นผู้ค้นพบช่องโหว่ระบุในรายงาน
“ด้วยเหตุนี้จึงทำให้ผู้โจมตีสามารถใช้ประโยชน์จากมันได้ง่ายมาก และเป็นเรื่องที่ท้าทายสำหรับเทคโนโลยีด้านความปลอดภัย เช่น firewalls หรือ IDS/IPS ที่จะตรวจสอบ เนื่องจากมันดูไม่เหมือนเป็นเพย์โหลดที่น่าจะเป็นอันตราย"
นอกเหนือจากช่องโหว่ของ SAP แล้ว CISA ยังได้เพิ่มช่องโหว่ใหม่ที่ถูกเปิดเผยโดย Apple (CVE-2022-32893 และ CVE-2022-32894) และ Google (CVE-2022-2856) ในสัปดาห์นี้ รวมทั้งช่องโหว่ที่เกี่ยวข้องกับ Microsoft ก่อนหน้านี้ (CVE-2022-21971 และ CVE-2022-26923) และช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน Palo Alto Networks PAN-OS (CVE-2017-15944 CVSS: 9.8) ที่ถูกเปิดเผยในปี 2560
CVE-2022-21971 (CVSS: 7.8) เป็นช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน Windows Runtime ที่ถูกแก้ไขโดย Microsoft ไปแล้วในเดือนกุมภาพันธ์ 2022 และ CVE-2022-26923 (CVSS: 8.8) ถูกแก้ไขไปแล้วในเดือนพฤษภาคม 2565 ซึ่งเป็นช่องโหว่ในการยกระดับสิทธิ์ใน Active Directory Domain Services
เพื่อลดความเสี่ยงต่อภัยคุกคามที่อาจเกิดขึ้น หน่วยงานภายใต้การกำกับดูแล Federal Civilian Executive Branch (FCEB) ต้องดำเนินการอัปเดตช่องโหว่ต่างๆข้างต้นภายในวันที่ 8 กันยายน 2022
ที่มา: thehackernews
SAP บริษัทซอฟต์แวร์สัญชาติเยอรมัน ประกาศอัปเดตแพตซ์ช่องโหว่ด้านความปลอดภัย 20 รายการ และอีก 3 รายการที่เป็นส่วนหนึ่งของช่องโหว่ในรอบที่ผ่านมา โดยการอัปเดตครั้งนี้เป็นรอบการอัปเดตในเดือนกรกฎาคม 2022 ซึ่งในการอัปเดตแพตซ์ดังกล่าวจะมีช่องโหว่ 4 รายการที่มีระดับความรุนแรงสูง โดยเป็นช่องโหว่ที่ส่งผลกระทบต่อ SAP BusinessObjects 1 รายการ และช่องโหว่ที่ส่งผลกระทบต่อ Business One อีก 3 รายการ
ช่องโหว่ที่มีความรุนแรงที่สุดคือ CVE-2022-35228 (คะแนน CVSS 8.3) ซึ่งเป็นช่องโหว่ information disclosure ใน central management console ที่ส่งผลกระทบต่อ SAP BusinessObjects Business Intelligence Platform
(more…)