Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

脆弱なERP、機密情報流出のおそれ - 「SAP」「Oracle EBS」など標的に

企業の経営管理で機密情報やビジネスプロセスを扱う「ERPシステム」だが、管理の甘い脆弱なシステムが攻撃者のターゲットになっているとして、米国土安全保証省の国家サイバーセキュリティ通信統合センター(NCCIC)やUS-CERTでは注意を呼びかけている。

管理が甘い「SAP」や「Oracle E-Business Suite」などの「ERP」が攻撃対象となっているとするOnapsisやDigital Shadowsの調査を受けて、注意喚起を行ったもの。

指摘された脅威は、「ERPシステム」におけるあらたな脆弱性ではなく、「SAP NetWeaver Application Server Java(SAP NetWeaver AS)」におけるサーブレット「Invoker」の脆弱性「CVE-2010-5326」をはじめ、「SOAP RFC」の悪用や脆弱なパスワードなど、さまざまな既知の脅威に起因したものだという。

攻撃者が高度な手法を用いなくとも「ERPシステム」への侵入が可能となり、ビジネスにおける機密情報を取得されたり、プロセスが制御されるといった被害や、他システムへアクセスするための踏み台として悪用されるおそれがあるとしている。

(Security NEXT - 2018/07/26 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

WordPress向け求人プラグインに脆弱性 - リモートよりコード実行のおそれ
「Microsoft Edge」にアップデート - 脆弱性4件を解消
「WebAssembly」のランタイム「Wasmi」に脆弱性
「GarageBand」にセキュリティアップデート - 脆弱性1件を修正
「JSONata」にプロトライプ汚染の脆弱性 - アップデートにて修正
「WordPress」向けのマルウェア対策やWAFプラグインに脆弱性 - 公開中止に
Cisco、「IOS XR」に関するセキュリティアドバイザリ7件を公開
「Apache Tomcat」に脆弱性、2月の更新で修正済み - 「同8.5」系統は3月末にEOL
Palo Altoの「PAN-OS」や「GlobalProtect App」に脆弱性
バックアップ製品「Arcserve UDP」に脆弱性 - 影響大きくPoCも公開