سايت خبری فناوری اطلاعات (ايتنا) 15 مهر 1396 ساعت 14:34 https://www.itna.ir/news/50418/آسیب-پذیری-هایsap-می-تواند-سرورها-آفلاین-کند -------------------------------------------------- عنوان : آسیب‌پذیری‌هایSAP می‌تواند سرورها را آفلاین کند -------------------------------------------------- ایتنا- هشت اشکال در محصولات SAP وجود دارد که می‌تواند پیامدهای جدی برای سیستم‌های آسیب پذیر داشته باشد. متن : SAP، شرکت نرم‌افزار آلمانی است که عمده شهرتش را مدیون تولید نرم‌افزارهای سازمانی در زمینه مدیریت عملیات تجاری و روابط با مشتریان است. دفتر مرکزی این شرکت در والدورف، ایالت بادن-وورتمبرگ واقع شده و دفاتر و شعب دیگری نیز در نقاط مختلف جهان دارد. این شرکت، ژوئن ۱۹۷۲ توسط پنج تن از مهندسان سابق IBM کار خود را در شهر مانهیام آلمان -تحت عنوان «تحلیل سیستم‌ها و توسعه برنامه‌ها»- آغاز نمود. پس از مدتی، این عنوان را به «سیستم‌ها، محصولات و برنامه‌های پردازش داده» تغییر داد و اولین محصول خود را در ۱۹۷۳ تولید کرد. از همان زمان محصولات این شرکت به «راهکارهای SAP» مشهور شد. به گزارش ایتنا از رایورز به نقل از زد.دی نت، هشت آسیب‌پذیری در محصولات SAP یافت شده است که می‌تواند منجر به نشت اطلاعات شود و امکان آفلاین شدن کلیه سرورها را فراهم سازد. محققان امنیتی پازیتیو تکنولوجیز اذعان داشتند که اشکالاتی در انواع راهکارهای SAP کشف شده است که تمامی آنها می‌تواند به نوعی خطرناک باشد و شرکت‌های فعال در سراسر جهان -که از این سیستم استفاده می‌کنند- را تحت تأثیر قرار دهد. یکی از مهم‌ترین اشکالات سرور که به دلیل عدم وجود اعتبارسنجی XML به وجود آمده است، در وب داین‌پرو فلش آیلند پیدا شده است و به هکرها این امکان را می‌دهد که بدون نیاز به احراز هویت، یک حمله XXE صورت دهند و فایل‌های روی سرور SAP مانند کلیدهای رمزگذاری خصوصی و دیگر اطلاعات مهم کسب‌وکار را دریافت کنند. این آسیب‌پذیری می‌تواند برای یک حمله منع سرویس (DOS) مورد استفاده قرار گرفته و سرورها را آفلاین کند. آسیب‌پذیری دیگری که شناسایی شد، پرتال SAP Enterprise بود. نبود اعتبارسنجی XML به مهاجمان اجازه داد که فایل‌های محلی را از سرور SAP دریافت کنند. این موضوع باعث می‌شود که اطلاعاتی نظیر کلیدهای رمزگذاری شخصی، رمز عبور سیستم‌عامل و داده‌های سازمانی حساس به سرقت برود. پژوهشگران اذعان داشتند: «هکرهایی که خارج از شبکه محلی هستند، نمی‌توانند به سیستم‌عامل و پایگاه‌داده دسترسی داشته باشند، اما می‌توانند اطلاعات لازم برای هک حساب‌های موجود روی سرویس‌های باز دیگر را به کار برند یا یک حمله منع سرویس توزیع شده صورت دهند.