鎖定SAP的惡意程式被公開，90萬家企業用戶曝險機率大增

全球使用SAP ERP的企業用戶要注意了，安全廠商發現一隻鎖定SAP平台的惡意程式近日被公開，將導致全球100萬家SAP企業客戶中高達9成，陷入系統被駭客接管或刪改資料的風險。

安全廠商Onapsis Research Labs近日發現，一隻瞄準SAP Gateway和Message Server的惡意程式10KBlaze被公開在網路論壇上。Gateway和Message Server都是SAP Netweaver中的元件，分別提供行動裝置及其他系統連接SAP系統，以及串聯Netweaver各元件和資料庫。10KBlaze主要是利用NetWeaver及S/4HANA一項已由SAP官方揭露的系統設定問題而對企業帶來威脅。

去年Onapsis發現，SAP NetWeaver Message Server軟體出貨時，存取控制表（Access Control List, ACL）預設為關閉，以方便系統安裝。然而關閉ACL意謂著，所有人都可以存取port 3900註冊app，包括外部攻擊者。事實上SAP早在14年前就三度發出警告，提醒企業用戶開啟ACL設定，以降低未授權存取的風險。安全公司估計有90萬家用戶仍使用不當的設定。

研究人員指出，一旦SAP被植入10KBLAZE，遠端攻擊者即可以用它來新增具備管理員權限的用戶帳號，藉此存取或修改機密敏感的企業資料，或是取得資料庫完整存取權限、搞掛SAP系統或永久刪除重要資訊。

安全公司指出，由於每個SAP系統都有Message Server和Gateway，因此所有使用NetWeaver Application Server及S/4HANA的系統都可能受影響，包括SAP Business Suite、ERP、SAP CRM、SCM、SAP SRM、S/4HANA、SAP Solution Manager、SAP GRC Process and Access Control、SAP Process Integration/Exchange Infrastructure (PI/XI)、SAP Solution Manager等等。

由於波及範圍實在太大，安全公司已經把這隻程式的入侵偵測簽章開源給主要防火牆廠商如思科、FireEye及Palo Alto，而企業用戶也可以將Snort rules實作於防火牆及入侵偵測系統來防止入侵。