SAP 已知 4000 多个漏洞，Oracle有5000 多个漏洞

研究报告警报，SAP和Oracle商业管理软件被黑客攻击的威胁不断增加

美国国土安全部准备基于一份报告发布安全警报，该报告列出了来自两大软件开发商Oracle和SAP的成千上万未打补丁的商业系统面临的安全风险。

研究人员表示，由于未安装补丁或者未采取Oracle或SAP建议的其他安全措施，两家政府机构以及媒体、能源和金融等行业的多家公司的系统已遭到了攻击。

据报告声称，SAP软件中的4000多个已知漏洞和Oracle软件中的5000多个已知漏洞构成了安全威胁，运行这些软件的政府部门和企业组织认为修复起来成本过高的旧系统尤其岌岌可危。

两家网络安全公司告诉路透社，由于黑客钻管理软件中旧安全漏洞的空子，至少十几家公司和政府机构已被黑客盯上，另外数千家组织面临数据泄露的风险。

因SAP或Oracle而遭到攻击的案例，以时间表为序：

研究人员表示，美国国土安全部准备基于一份报告发布安全警报，该报告列出了来自两大软件开发商Oracle和SAP的成千上万未打补丁的商业系统面临的安全风险，因而让黑客得以窃取公司机密。

美国国土安全部拒绝发表评论，路透社无法立即证实独立消息来源的警告。

Onapsis和Digital Shadows这两家安全公司的专家表示，由于未安装补丁或者未采取Oracle或SAP建议的其他安全措施，两家政府机构以及媒体、能源和金融等行业的多家公司的系统已遭到了攻击。

这两家公司告诉路透社，来自美国国土安全部计算机紧急响应小组（US-CERT）的安全警报包含企业组织可以采取的一些措施，以识别易受攻击的系统，并且堵住长期存在的安全缺口。

这个威胁之所以令人担忧，是由于公司企业经常将高度敏感的数据（包括财务报告、生产秘密和信用卡号）存储在企业资源规划（ERP）这类易受攻击的产品中，并且存储在用来管理客户、员工和供应商的相关应用软件中。

Onapsis的首席执行官马里安诺·努内兹（Mariano Nunez）告诉路透社，其中许多问题可以追溯到十年或更久以前，但这项新的研究显示，黑客活动分子、网络犯罪分子和政府间谍机构针对这些问题大做文章的兴趣在迅速加大。

他说：“这些攻击者已准备好对几年前就有的风险大做文章，这些风险让攻击者得以在不被发现的情况下全面访问SAP系统和Oracle系统。对于首席安全官和首席执行官来说，形势应该紧迫得多。”

SAP和Oracle拒绝立即发表评论。

努内兹表示，美国政府部门发布安全警报不是没有先例：早在2016年，Onapsis 发现了中国黑客打算钻众多公司使用的过时软件的空子这个阴谋后，美国国土安全部门就向SAP客户发出了警报。

努内兹表示，企业组织有时将针对ERP软件部署安全修复程序的工作推迟数月甚至数年，主要担心这么做可能会破坏软件支持的关键业务职能，包括制造、销售和财务。

风险还来自技术性的安装错误或这种日益盛行的做法：将传统的后台业务系统连接到云端，以便覆盖移动用户或在线用户。

Onapsis和互联网监测公司Digital Shadows在最新的研究报告中发现，在3000多家知名的公司企业、政府机构和大学中，已安装的大约17000套SAP软件和Oracle软件暴露在互联网面前。

报告的作者警告称，至少10000台服务器在运行配置不正确的软件，这些软件可能让这些服务器面临利用已知的SAP或Oracle漏洞的直接攻击。

据Onapsis和Digital Shadows周三发布的报告声称，SAP软件中的4000多个已知漏洞和Oracle软件中的5000多个已知漏洞构成了安全威胁，运行这些软件的政府部门和企业组织认为修复起来成本过高的旧系统尤其岌岌可危。

Digital Shadows对谷歌搜索、社交媒体聊天内容和暗网进行了一番梳理，他们发现中国和俄罗斯黑客论坛上有帖子在讨论如何钻特定的SAP和Oracle漏洞的空子。

Onapsis和Digital Shadows的ERP研究报告可从https://goo.gl/pWbz3Q下载。