Únorová nadílka oprav závažných chyb od SAPu obsahuje mimo jiné záplaty pro software Manufacturing Integration and Intelligence (xMII), o nějž se kvůli zranitelnostem začali zajímat hackeři a kyberšpioni.
Tento software hojně využívají průmyslové podniky k propojení výrobních systémů s obchodními aplikacemi pro sledování výkonnosti – avšak kvůli chybám nebyla vynucována pravidla omezující přístup k informacím pro různé uživatele.
Aktualizace xMII opravuje zranitelnost vůči útoku typu directory traversal, která umožňovala útočníkům proniknout do adresářů na fileserveru SAP a získat citlivé soubory včetně zdrojových kódů aplikací, konfiguračních a systémových souborů a dalších technických a obchodních informací.
I když chyba neumožňovala útočníkům přímo narušit výrobu, mohli s ji zneužít jako první krok vícefázového útoku proti důležitějším výrobním systémům ICS a SCADA.
Oprava xMII však nebyla mezi 23 aktualizacemi hodnocená jako nejdůležitější – SAP jí přidělil pouze 4 body z 10. Nejvýše na žebříčku závažnosti se umístila se 7,5 bodu chyba ve vyhledávacím jádře Trex systému SAP NetWeaver, která umožňovala neoprávněné provádění systémových příkazů včetně spouštění libovolných souborů.
Na druhém místě byla zranitelnost vůči SQL injection v serveru SAP UDDI (Universal Description, Discovery and Integration). Pomocí speciálně upravených SQL dotazů umožňovala útočníkům číst, měnit a možná i mazat databáze.
Zdroj: IDG News Service
PŘEDPLATNÉ
ČLÁNKY DO MAILU