Ýaramaz niýetli ulanyjylar edaralaryň ulgamlaryna garşy düzedilen gowşaklyklardan goralmadyk möhüm SAP programmalaryny nyşana aldylar.

Bütin dünýäde 400,000-den gowrak edaralar täzelenmeleri paýlamak (SCM), edaranyň çeşmelerini meýilleşdirmek (ERP), önümiň ulanyş möhletini dolandyrmak (PLM) we müşderiler barada maglumaty dolandyrmak (CRM) üçin SAP korporatiw programmalaryny ulanýarlar.

Aprel aýynyň 6-na, SAP we bulut maglumat howpsuzlygy boýunça iş alyp barýan Onapsis kompaniýasy SAP ulanyjylaryna kiberhowplardan goranmak üçin howplary seljermek boýunça täze hasabatyny çykardylar.

SAP bilen bilelikde Onapsis tarapyndan toplanan we neşir edilen howplar barada analitiki maglumaty, SAP ulanyjylarynyň gurşawynda henizem goragsyz programmalaryň, internetde görünýän we guramalara aralaşmak synanyşyklara ýol açýan düzedilmedik gowşaklyklaryň bardygyny görkezýär.

2020-nji ýylyň ortalaryndan, Onapsis goralmadyk SAP programmalaryna garşy ulanylýan synanyşyklary hasaba alyp başlady, we kompaniýanyň gözlegçileri "2020-nji ýylyň iýun aýyndan 2021-nji ýylyň mart aýyna çenli 20 ýurtda amala aşyrylan 1500 synanyşyklaryndan 300 üstünlikli amala aşyrylandygy" ýüze çykardylar.

Ýaramaz niýetli ulanyjylar ulgamlary bozmak maksady bilen SAP programmalarynyň birnäçe howpsuzlyk gowşaklyklaryny we ygtybarly bolmadyk sazlamalaryny ulandylar.

Onapsis tarapyndan neşir edilen howplar barada hasabaty, bu zyýanly hereketde ulanylýan gowşaklyklary we usullary görkezýär, olar:

• Ýokary hukuklary bolan SAP ulanyjynyň hasap ýazgylarynyň goragsyz sazlamalaryna gönükdirilen brute-force

• CVE-2020-6287 (RECON hem diýilýär) - autentifikasiýa barlagyndan geçmedik ulanyjylar üçin SAP ulgamlaryny dolandyrmak mümkinçiligini berýän uzaklykdan ulanylýan gowşaklyk

• CVE-2020-6207 - goragsyz SAP ulgamlaryny dolandyrmak mümkinçiligini berýän örän howply gowşaklyk

• CVE-2018-2380 – bu gowşaklygyň ulanylmagy ýaramaz niýetli ulanyjylara hukuklary artdyrmaga we operasion ulgamynyň buýruklaryny ýerine ýetirmäge mümkinçilik berýär, bu bolsa maglumat binýadyna girmek we torda hereket etmek mümkinçilikleri berýär

• CVE-2016-9563 – ýaramaz niýetli ulanyjylar üçin bu ýalňyşlygyň ulanylmagy ulgamda “Hyzmat etmekden ýüz öwürmek” (DoS) ýagdaýyna getirmek, gizlin maglumatlara rugsatsyz aralaşmak mümkinçilikleri berýär

• CVE-2016-3976 – ýaramaz niýetli ulanyjylar bu gowşaklygy uzaklykdan hukuklary artdyrmak we islendik faýllary okamak üçin ulanyp bilýärler, bu bolsa maglumatlaryň aýan bolmagyna getirýär

• CVE-2010-5326 – bu gowşaklyk autentifikasiýa barlagyndan geçmedik ulanyjylar üçin operasion ulgamynyň buýruklaryny ýerine ýetirmäge we maglumat binýadyna birikdirilen SAP programmasyna girmäge mümkinçilik berýär.

SAP we Onapsis kompaniýalary guramalara degişli SAP howpsuzlyk düzedişleri gysga wagtyň içinde gurnamak we SAP gurşawynyň howpsuzlyk sazlamalaryny gözden geçirmek ýaly çäreleri gyssagly görmäge berk maslahat berýärler.

Çeşme: bleepingcomputer.com