独家:多年前SAP修补的安全漏洞引起了美国政府的警觉

2017-10-13 15:01:08

法兰克福(路透社) - 欧洲最大的软件公司SAP(SAPGDE)就六年前该公司禁用的一个漏洞提出了美国安全警报的主题,如果该软件不正确,它仍然可以让外部攻击者远程控制旧的SAP系统修补了SAP修复了这个问题,但是决定是否关闭一个简单的访问设置给客户,他们有时可能更重视保持业务关键型SAP系统运行而不是应用安全更新美国国土部安全公司的计算机应急响应小组(US-CERT)周三向安全行业发出警报,告知SAP客户他们需要做些什么才能堵塞漏洞这是该机构今年迄今为止发布的三个此类安全警告之一近年来,数十家公司已经暴露于这些安全漏洞,而且更多的SAP客户仍然很脆弱,Onapsis公司称,这是一家专业公司为了保护SAP业务应用程序和竞争对手Oracle ORCLO“这不是一个新的漏洞”,Onapsis的首席执行官Mariano Nunez在与美国安全警报提前告知路透社SAP客户并未意识到这是“SAP,其软件充当许多跨国公司的企业管道,并声称87%的全球2000强公司作为客户,在2010年披露了该漏洞,并提供了软件补丁来修复漏洞SAP公司在一份电子邮件声明中表示,该公司在六年前推出软件更新时发布了一份声明,表明该漏洞功能已得到修复该公司在一封电子邮件声明中说,但它承认这些变化是众所周知的打破 - 或禁用 - 许多客户使用旧版SAP编程语言实现的定制软件开发问题还在继续,因为众所周知,大量的SAP大客户依赖于这些软件的旧版本,这些版本在很多情况下可以追溯到几年前,或者在极端的例子中,甚至几十年警报强调了SAP软件如何经常作为内部公司在公司内部进行管理系统,没有提高意识,它容易受到面向公众的网站,电子邮件系统和网络每天受到的攻击的影响安全专家说客户依赖的问题不是软件问题,而是解决这些问题如何得到解决的问题一系列顾问,外部审计公司和专门的内部SAP安全团队决定何时安装补丁而不会破坏他们的系统稳定性SAP每月生产数十个软件补丁以修复其软件中的错误它绝不是唯一的Microsoft(MSFTO),例如,在每个月的第二个星期二向数百万办公室网络管理员推出类似的补丁,他们必须决定是什么时候n应用这些修复程序,这个过程被称为“星期二补丁”但在SAP的情况下,未知数量的客户尚未应用安全性安全专家说,因为SAP系统包含敏感的财务,人力资源和业务战略信息,这意味着SAP安全通常由熟悉底层业务应用程序复杂性的专家负责,而不是专注于外部网络安全威胁的公司范围内的安全团队根据一份报告,已发现36家企业有未经授权访问的迹象将于周三由位于波士顿的Onapsis发布,并提前提供给路透社自2013年以来,36家企业的漏洞已在中文在线讨论论坛上详细介绍,其中公开利用过时或配置错误的SAP NetWeaver Java系统的方法Nunez表示,这些目标既是中国着名的国内公司,也是外国合资企业据路透社报道,路透社证实,Onapsis随后在美国,德国和英国发现了其他易受影响的SAP客户,但他拒绝透露具体名称目标范围从电信到公用事业,零售,汽车和钢铁公司,包括十几个Onapsis表示,年营业额至少为100亿美元 “我们认为这些(已知的受害者)只是冰山一角,以及对这个问题的无可辩驳的答案:'SAP应用程序是否受到攻击'”Onapsis在其报告中表示Onapsis也代表200个SAP客户工作从戴姆勒到西门子到西屋和美国陆军一位主要的SAP客户遭受了与该漏洞相关的多次攻击,他说该软件 - 最初是为了帮助程序员快速测试新功能而创建的 - 为他的组织的内部运作留下了一个后门关于这个问题的挑战,SAP最初的回应是告诉他,“'这不是一个漏洞它是一个功能如果你不喜欢它你就应该把它关掉',”客户说,他要求不透露姓名商业敏感性谷歌(GOOGLO)是Android软件背后的公司,用于为全球四分之三的智能手机供电,它也会定期发布安全补丁但正如SAP的情况一样,手机制造商d网络运营商必须决定何时更新他们的软件,差距导致数亿Android手机用户容易受到广为人知的威胁美国监管机构本周表示,