Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

脆弱なERP、機密情報流出のおそれ - 「SAP」「Oracle EBS」など標的に

企業の経営管理で機密情報やビジネスプロセスを扱う「ERPシステム」だが、管理の甘い脆弱なシステムが攻撃者のターゲットになっているとして、米国土安全保証省の国家サイバーセキュリティ通信統合センター(NCCIC)やUS-CERTでは注意を呼びかけている。

管理が甘い「SAP」や「Oracle E-Business Suite」などの「ERP」が攻撃対象となっているとするOnapsisやDigital Shadowsの調査を受けて、注意喚起を行ったもの。

指摘された脅威は、「ERPシステム」におけるあらたな脆弱性ではなく、「SAP NetWeaver Application Server Java(SAP NetWeaver AS)」におけるサーブレット「Invoker」の脆弱性「CVE-2010-5326」をはじめ、「SOAP RFC」の悪用や脆弱なパスワードなど、さまざまな既知の脅威に起因したものだという。

攻撃者が高度な手法を用いなくとも「ERPシステム」への侵入が可能となり、ビジネスにおける機密情報を取得されたり、プロセスが制御されるといった被害や、他システムへアクセスするための踏み台として悪用されるおそれがあるとしている。

(Security NEXT - 2018/07/26 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「WordPress」向けAMP対応プラグインに深刻な脆弱性 - アップデートで修正
11月のMS月例パッチ修正された脆弱性、中東のゼロデイ攻撃で悪用済み
【修正あり】MS、月例パッチで脆弱性62件を修正 - ゼロデイ脆弱性などに対処
「Adobe Acrobat/Reader」に脆弱性、実証コードが公開済 - 早急に更新を
「VMware vRealize Log Insight」に認証回避の脆弱性
「VMware ESXi」に深刻な脆弱性 - ホスト上でコード実行のおそれ
「Adobe Acrobat/Reader」に悪用リスク高い脆弱性 - 早期適用推奨のアップデートが13日に公開予定
「Adobe Flash Player」に情報漏洩の脆弱性 - 悪用は未確認
「WordPress」の人気eコマースプラグインに脆弱性 - 権限昇格のおそれ
「Chrome 70.0.3538.102」がリリース - セキュリティ関連の修正は3件