俄羅斯安全研究人員在一份報(bào)告中披露了SAP NetWeaver存在的一項(xiàng)漏洞，該漏洞可能導(dǎo)致攻擊者獲取中央用戶管理表的訪問權(quán)。

作為一套面向服務(wù)的集成平臺(tái)方案，SAP NetWeaver此次遭遇的漏洞細(xì)節(jié)（CVE-2014-3787）由安全企業(yè)PT Security公司嚴(yán)格保密，這家安全廠商會(huì)定期對(duì)SAP套件進(jìn)行檢測(cè)。

中央用戶管理功能旨在簡(jiǎn)化對(duì)由不同客戶端托管的多個(gè)用戶賬戶的管理流程。SAP公司是目前人氣最高的商務(wù)應(yīng)用程序供應(yīng)商之一，財(cái)富五百?gòu)?qiáng)企業(yè)中有四分之三使用該公司的產(chǎn)品。

Dmitry Gutsko指出，此次曝光的敏感信息泄露漏洞會(huì)影響到NetWeaver 7.20以及更早版本。

“一旦成功利用此漏洞，攻擊者將能夠通過附屬系統(tǒng)讀取來自SAP中央用戶管理體系中的任何表信息，這可能會(huì)導(dǎo)致存儲(chǔ)在全部CUA系統(tǒng)中的用戶數(shù)據(jù)遭到泄露，”Gutso在一篇博文中解釋道。

建議用戶利用最新發(fā)布的NetWeaver安全補(bǔ)丁來修復(fù)這一漏洞。

SAP用戶一直對(duì)該公司部署方案的更新與安全保護(hù)機(jī)制抱怨不休。去年ERP Scan公司創(chuàng)始人Alexander Polyakov曾經(jīng)發(fā)現(xiàn)，當(dāng)時(shí)成百上千家企業(yè)在運(yùn)行著存在漏洞的陳舊SAP產(chǎn)品版本，而且內(nèi)部信息完全暴露在公共互聯(lián)網(wǎng)之下。

Polyakov發(fā)現(xiàn)不少客戶所運(yùn)行的NetWeaver j2EE版本當(dāng)中都包含關(guān)鍵性漏洞，可能允許攻擊者在無需認(rèn)證的前提下執(zhí)行操作命令。

今年一月，這家安全公司還報(bào)告稱SAP NetWeaver的GRMGApp中存在關(guān)鍵性XML External Entity（簡(jiǎn)稱XXE）漏洞，這相當(dāng)于為未經(jīng)授權(quán)的訪問敞開了便利之門。