专栏首页安恒信息SAP NetWeaver远程代码执行漏洞来袭 安恒信息提醒用户及时关注并防护

SAP NetWeaver远程代码执行漏洞来袭 安恒信息提醒用户及时关注并防护

SAP NetWeaver 是基于专业标准的集成化应用平台,能够大幅度降低系统整合的复杂性。其组件包括门户、应用服务器、商务智能解决方案以及系统整合和数据整合技术。SAP NetWeaver 为 SAP 交付组合应用程序提供了基础,组合应用程序通常是指使用 SAP NetWeaver 工具构建和管理的 SAP xApps。它们将使用 SAP R/3、SAP 供应链管理、SAP 客户关系管理和 SAP ERP 等 SAP 应用程序的现有功能,根据客户需求来构建新功能或扩展功能。SAP ERP 2005 完全支持此架构,而 SAP R/3 则不支持。SAP NetWeaver是下一代基于服务的平台,它将作为未来所有SAP应用程序的基础。NetWeaver包含了一个门户框架,商业智能和报表,商业流程管理(BPM),自主数据管理(MDM,Master Data Management),一个公用运行时间应用服务器(common run-time application server),以及SAP应用开发和管理平台。 目前世界500强企业中就有80%以上使用SAP。

近期,SAP NetWeaver 平台爆出一个严重的漏洞,远程攻击者成功利用后可允许攻击者在目标服务器执行系统命令或造成应用崩溃。此次受到该漏洞影响的包含SAP NetWeaver 7.0以及以前版本。该漏洞目前还未被CVE等各大漏洞信息收录,大量使用SAP NetWeaver 7.0以及以前版本的客户可能将被黑客攻击,并呈扩散趋势。

特别是国内的大型集团企业、金融和运营商等使用此框架的用户尤其需要重视该漏洞,这些单位和机构需要非常重视信息安全保密工作,敏感信息的泄漏有可能对国家造成沉重的打击,甚至会违反相关的法律规定。在最近几年APT攻击横行的时期,骇客早也不再以挂黑页炫耀为目的,攻击者可能通过该漏洞作为突破口渗透进入其内部网络长期蛰伏,不断收集各种信息,直到收集到重要情报。请记住,在如今的互联网时代,只要是能换成钱的东西,骇客们都愿意尝试,其中更不乏诸多政治骇客(如国际黑客组织Anonymous)。

针对此次事件,安恒信息安全研究院进行了及时的跟进与响应,与安恒研发团队共同完成了SAP NetWeaver平台的检测策略与防御策略,目前安恒信息明御WEB应用防火墙已经能够防御SAP NetWeaver平台的系统命令执行漏洞,并提供了策略升级包,安恒信息将及时安排工作人员对相关客户进行升级。同时安恒信息明鉴WEBSCAN扫描器也能及时探测出该系统漏洞。

此外,管理员在修补漏洞的同时千万不要忘记查看服务器或网站是否已经被入侵,是否存在后门文件等,尽量将损失和风险控制在可控范围内。安恒信息目前也安排了24小时电话紧急值班(400-605-9110),随时协助有需要的客户解决该漏洞。

(完)

本文分享自微信公众号 - 安恒信息(DBAPP2013)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2013-05-02

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 全球95%的SAP企业管理系统存在安全漏洞,可能导致严重的数据泄露

    根据调查报告,全世界超过25万企业因SAP系统中存在的一系列安全漏洞而受到影响,可能导致严重的企业数据泄露。SAP是世界上最受欢迎的企业应用软件企业和解决方案提...

    安恒信息
  • 安全漏洞公告

    1 Check_MK 任意文件上传漏洞 Check_MK 任意文件上传漏洞发布时间:2014-03-26漏洞编号:BUGTRAQ ID: 66394 CVE(...

    安恒信息
  • 安全漏洞公告

    1 Oracle MySQL Server远程安全漏洞 Oracle MySQL Server远程安全漏洞发布时间:2014-04-17漏洞编号:BUGTRAQ...

    安恒信息
  • SAPGUI系统登录页面配置的SAProuter有什么用

    版权声明:本文为博主汪子熙原创文章,未经博主允许不得转载。 https://jerry.bl...

    Jerry Wang
  • SAP产品增强技术回顾

    Jerry最近的工作和SAP某云产品的扩展性设计相关,因此借这个机会,把我过去工作中积累的SAP产品扩展技术相关的知识做一个梳理和回顾。

    Jerry Wang
  • 基于SAP Kyma的订单编排增强介绍

    版权声明:本文为博主汪子熙原创文章,未经博主允许不得转载。 https://jerry.bl...

    Jerry Wang
  • 如何创建SAP UI5项目?

    今天来更新一篇技术文章,聊一下创建一个SAP UI5项目的具体步骤。SAP UI5是SAP UI Development Toolkit for HTML5的简...

    matinal
  • SAP 2018年Q1财报:云营收突破10亿欧元

    人称T客
  • SAP订单编排和流程增强概述

    版权声明:本文为博主汪子熙原创文章,未经博主允许不得转载。 https://jerry.bl...

    Jerry Wang
  • SAP FICO全解析之-创建货币

    与国家/地区相同,货币通常是使用默认SAP安装预先定义的。在非常特殊的情况下,将必须创建一种新的货币的时候,在使用本文的操作。但是,如果有这样的需求,则应遵循官...

    matinal

扫码关注云+社区

领取腾讯云代金券