SAP再爆安全漏洞 这是为了配合的去IOE行动吗?

信息安全问题原来一直在民间组织中流传。如今,随着棱镜门事件的影响,信息安全已经被国家提升到战略高度,从禁止采购windows8开始,到禁止国企采用国外咨询公司服务,再到银行业放弃IBM,国家政策的一系列重拳,直奔主题就是面向去IOE。

在去IOE风波中,影响最大的是思科,随后整个事态开始扩散到IBM,IBM更是不断以裁员和变卖资产应对挑战。更有甚者传出IBM很可能会继续卖掉小型机和lotus,甚至更多产品线的求自保。

而本来看似相安无事儿的德国战车SAP,似乎与这场中美之间的较量毫无关联,可是棱镜门事件地震,已经去IOE已经开始演变成去SOA了。中国电信,中海油原来都是SAP的客户,最近都被用友HCM替换,另外,SAP的金主中石化,据传也开始全线采用国产管理软件,摆脱对SAP的依赖,而这些国产化替代,都是从这些不缺钱的主开始,他们貌似也在为了配合一些政策响应。

SAP NetWeaver漏洞导致用户表泄露财富五百强有四分之三企业中枪

除了国家级别的重视外,信息安全问题已经成为国有政企无法回避的问题,而一直采用大型集团企业的SAP,近期就接连爆出安全漏洞,让本就举步维艰的中国市场更加雪上加霜,看来第二故乡的政策并没有起到效果,更加本土化的解决方案产品并没有打动中国用户。

近日,俄罗斯安全研究人员在一份报告中披露了SAP NetWeaver存在的一项漏洞,该漏洞可能导致攻击者获取中央用户管理表的访问权。

中央用户管理功能旨在简化对由不同客户端托管的多个用户账户的管理流程。SAP公司是目前人气最高的商务应用程序供应商之一,而财富五百强企业中有四分之三使用该公司的产品。

“一旦成功利用此漏洞,攻击者将能够通过附属系统读取来自SAP中央用户管理体系中的任何表信息,这可能会导致存储在全部CUA系统中的用户数据遭到泄露,”Gutso在一篇博文中解释道。

而早些时候,俄罗斯防毒公司Doctor Web此前曾发现一只恶意程序,。而这支恶意软件专门偷SAP客户端应用程序的账号密码,并存取SAP ERP系统,微软方面也证实有此恶意软件,并命名为:TrojanSpy:Win32/Gamker.A。

自动描述程序通过扫描找出SAP的用户密码,获取SAP权限,可以窃取客户信息及商业机密,象是财务信息、公司机密、客户名单或人资资料,并转售给竞争者。他们甚至可以对SAP服务器发动阻断攻击服务来破坏商业运作,造成财务损失。

早在2010年也有媒体报道过SAP的漏洞问题,可是在当时并没有引起人们注意。

SAPGUI是一个标准的应用程序,它用来连接SAP并使用有关数据。在采用了SAP的大型公司中,几乎所有的SAP客户端工作站上都安装了这个应用程序。在SAPGUI中发现的漏洞的严重性堪比IE浏览器或者Microsoft office软件中的溢出漏洞。Windows基本设施在更新方面还是比较方便的,同时管理员还会收到严重Windows漏洞的通知,但是SAP客户端的情况就不同了。SAP客户端的安全问题主要有两个,一是客户端软件没有自动更新系统,二是在现有的问题和解决方法方面的信息还比较匮乏。

这些问题随着SAP产品的不断更新有所补充,但是当时人们对于信息安全的不重视,也让SAP这样的管理软件厂商躲过一劫,当时用户关注的更多的是上线正常运营比信息安全紧迫。但随着棱镜门事件的深入,信息安全成为当前企业最为关注的重点。而SAP此刻爆出安全问题无疑会受到更多关注。

可是时至今日,SAP并末对SAP NetWeaver漏洞给予任何解释,不知道是SAP的反映一惯如此,还是SAP已经准备好了漏洞补包发给用户,但是在媒体侧SAP还是要给一个说明,让用户了解事情的进展。

伴随去IOE事态的不断演变,很多厂商也想让去SOA成为去IOE的翻版,SAP此刻爆出安全问题,也给这些友商一个翻拍的机会,只能说SAP的市场此时也只能用无声胜有声来搞定这一切了,也是当下最好的解决方案。

原文发布于微信公众号 - 人称T客(Java_simon)

原文发表时间:2014-06-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

安恒信息APT攻击(网络战)预警平台2018年勒索病毒检测分布

2017年,勒索病毒扩散事件让大家人心惶惶,对WannaCry勒索病毒、Petya勒索病毒、Locky勒索病毒、BadRabbit勒索病毒的传播记忆犹新,而20...

1463
来自专栏大数据文摘

2017年上半年重大黑客事件盘点

1714
来自专栏FreeBuf

京东千万条账户数据泄露?京东回应称系2013年的漏洞所致

昨天晚间,来自网络媒体一本财经的消息,12GB京东账户数据在暗网流通,数据多达数千万条。据说本次泄露的账户数据包括了用户名、密码、邮箱地址、QQ号、电话号码、身...

2745
来自专栏域名资讯

上市公司*ST华泽官网打不开,域名已被挂出售卖

深交所主板上市公司*ST华泽(000693,SZ)的官网已打不开,公司称因欠费遭暂停。

2177
来自专栏玄魂工作室

安全快讯合集

3. DEF CON 2018 | macOS零日漏洞可模拟鼠标点击以加载内核扩展

671
来自专栏域名资讯

劲爆消息!中国投资人拿下“金币”jb.com

劲爆消息!劲爆消息!一金币域名jb.com漂洋过海,被中国投资人拿下!

21910
来自专栏腾讯游戏云的专栏

一个域名引发的血案……

6月29日凌晨,无数球迷正放下小龙虾、握紧啤酒杯,屏气凝神观看三狮军团英格兰鏖战欧洲红魔比利时。

63113
来自专栏安智客

问答《网络关键设备和网络安全专用产品安全认证》

去年6月国家互联网信息办公室、工业和信息化部、公安部、国家认监委关于发布《网络关键设备和网络安全专用产品目录(第一批)》的公告,明确了网络关键设备和网络安全专业...

1633
来自专栏域名资讯

榴莲中7位数将“凤凰”域名FH.com售出

2018年伊始,域名圈就相继报道了戴跃收购JP.com、za.cn等域名,近段时间又一重磅消息出世:榴莲将两声母域名FH.com出售了。

2195
来自专栏FreeBuf

Forrester公布2016年数据泄露之最:MySpace称第一,阿里巴巴排第二

本已处于休眠状态的MySpace最近因为黑客又火了一把,据统计,在2016年该社交媒体共有4亿2千7百万账号被窃取。 据Forrester报告所说,这项纪录遥...

2649

扫码关注云+社区