释放双眼,带上耳机,听听看~!
专家透露,从erpscanSAP漏洞修补后,九月仍然影响超过900的SAP系统暴露在互联网。在九月修补的漏洞的信息泄露漏洞影响超过900个的SAP系统被暴露在互联网上。根据QuentaSergiuPopa专家解决方案报道漏洞,漏洞可以利用远程攻击者获得SAP用户的系统的列表。攻击
专家透露,从erpscan SAP漏洞修补后,九月仍然影响超过900的SAP系统暴露在互联网。
在九月修补的漏洞的信息泄露漏洞影响超过900个的SAP系统被暴露在互联网上。
根据Quenta Sergiu Popa专家解决方案报道漏洞,漏洞可以利用远程攻击者获得SAP用户的系统的列表。 攻击者可以利用漏洞来获取用户的数据,包括用户名、用户id和邮件,所有信息,可以用来发射鱼叉式网络钓鱼攻击和垃圾邮件活动。
“远程漏洞允许外部攻击者获得的SAP用户列表系统利用一个在以下服务:信息披露漏洞”
/webdynpro/dispatcher/sap.com/caf~eu~gp~example~timeoff~wd/
com.sap.caf.eu.gp.example.timeoff.wd.create.ACreate
“这服务实际上是一个应用程序创建一个假请求的示例。 此服务不应该被激活在生产系统中,然而,它安装在默认情况下,在现实中,一些SAP客户禁用组件。
漏洞允许获取用户名,用户id甚至电子邮件,如果这个信息是由用户提供。 相关信息的用户名和电子邮件可以用于网络钓鱼攻击这些用户通过发送恶意软件。 ”
据估计超过15%的所有SAP系统暴露在互联网很容易这一缺陷,根据ERPScan,目前至少有941个脆弱的SAP系统暴露在互联网上。
其他类似的缺陷被发现影响SAP web服务,专家帮助修复ERPScan最近两个类似的问题在其他应用程序中。
“更糟的是, SAP系统有1000 +这样的应用程序默认启用。 因此,有必要对所有web服务公开的详细分析。”
erpscan报告此漏洞第一次在7月12日,但没有透露细节,这三个月,符合公开披露信息在SAP的政策漏洞。
