Hầu hết các bản cài đặt SAP đều có thể bị hack
08:45 | 12/05/2015 | LỖ HỔNG ATTT
Các nhà nghiên cứu cho biết, có tới 95% số bản cài đặt SAP của các doanh nghiệp có chứa các lỗ hổng bảo mật nghiêm trọng.
Theo công ty bảo mật Onapsis (đơn vị chuyên cung cấp các công cụ an ninh cho SAP), tin tặc có thể tấn công các bản cài đặt SAP để thực thi các lệnh quản trị và tạo ra các cửa hậu J2EE. Mariano Nunez, tổng giám đốc của Onapsis, nói rằng 250 nghìn khách hàng của SAP đang chịu ảnh hưởng của những lỗ hổng bảo mật có tuổi đời trung bình 18 tháng, trong đó thời gian để SAP phát triển các bản vá là 12 tháng.
Ông phát biểu rằng “Bảo mật của SAP không theo kịp các vụ tấn công xảy ra ở các công ty phần lớn là do có khoảng trống trách nhiệm giữa đội vận hành và đội bảo mật SAP” và "Thực tế là phần lớn các bản vá không liên quan đến bảo mật, thường bị chậm hay tạo ra những rủi ro tác nghiệp mới". Nunez cho rằng phần lớn vấn đề liên quan đến SAP HANA, sản phẩm khiến cho số bản vá bảo mật tăng tới 450%.
Có tới 4 lỗ hổng trong SAP SQL Anywhere được xếp loại 9,5 (trên thang 10) về độ nghiêm trọng, theo sau chúng là 18 lỗ hổng trong Sybase ESP được xếp ở mức 7,5. Alexander Polyakov, nhà sáng lập công ty ERPScan, nói rằng "Chúng tôi không chỉ nói về số lỗ hổng bảo mật, con số này khá lớn, mà còn là độ nghiêm trọng của chúng". Ông cho biết cổng hỗ trợ khách hàng của SAP thể hiện 388 bản vá nhỏ được gọi là “security notes” được phát hành năm ngoái (tăng 7% kể từ năm 2013).
Vấn đề có thể còn tồi tệ hơn vì các lỗ hổng thường phát sinh thêm trong quá trình tùy biến các bản cài đặt SAP. "Nếu các lập trình viên có kinh nghiệm của SAP còn để sót nhiều lỗi trong mã nguồn thì hãy tưởng tượng xem điều gì đang xảy ra với các chương trình được tùy biến, (đặc biệt) là những thứ được thuê ngoài. Cạnh tranh cao độ giữa các công ty thuê ngoài khiến họ giảm thiểu thời gian và nguồn lực phát triển, điều thường ảnh hưởng tới bảo mật" - ông nói. Polyakov đã phát hành các sách trắng (whitepaper) giới thiệu chi tiết về các lỗ hổng thường gặp của SAP, các hướng dẫn kiểm thử xâm nhập (penetration testing) và các biện pháp phòng thủ.
