Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

脆弱なERP、機密情報流出のおそれ - 「SAP」「Oracle EBS」など標的に

企業の経営管理で機密情報やビジネスプロセスを扱う「ERPシステム」だが、管理の甘い脆弱なシステムが攻撃者のターゲットになっているとして、米国土安全保証省の国家サイバーセキュリティ通信統合センター(NCCIC)やUS-CERTでは注意を呼びかけている。

管理が甘い「SAP」や「Oracle E-Business Suite」などの「ERP」が攻撃対象となっているとするOnapsisやDigital Shadowsの調査を受けて、注意喚起を行ったもの。

指摘された脅威は、「ERPシステム」におけるあらたな脆弱性ではなく、「SAP NetWeaver Application Server Java(SAP NetWeaver AS)」におけるサーブレット「Invoker」の脆弱性「CVE-2010-5326」をはじめ、「SOAP RFC」の悪用や脆弱なパスワードなど、さまざまな既知の脅威に起因したものだという。

攻撃者が高度な手法を用いなくとも「ERPシステム」への侵入が可能となり、ビジネスにおける機密情報を取得されたり、プロセスが制御されるといった被害や、他システムへアクセスするための踏み台として悪用されるおそれがあるとしている。

(Security NEXT - 2018/07/26 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

公開情報からネット接続機器を検出、脆弱性を診断するサービス
10月中旬よりWPプラグイン「File Manager」の探索行為が増加
NETGEAR製スイッチの管理画面にCSRFの脆弱性
「JetBrains ToolBox」に深刻な脆弱性 - 開発者とNVDでわかれる評価
LINEで意図に反する大量の「グループ招待」「友だち追加」 - バグ検証から拡大か
「Drupal」にRCE脆弱性 - アップロードされたファイルの確認も
エプソン製品のインストーラに脆弱性 - 最新版の利用を
VMwareのアクセス管理製品に深刻な脆弱性 - パッチは準備中
「ウイルスバスター for Mac」旧版に複数脆弱性
Google、「Chrome 87」で33件のセキュリティに関する修正を実施