باحثون: 50,000 شركة تستخدم برمجيات SAP معرضة لخطر الاختراق
اكتشف باحثون أمنيون طرقًا جديدةً لاستغلال نقاط ضعف غير محمية كما ينبغي في أنظمة شركة “إس أي بي” SAP؛ الأمر الذي قد يعرض أكثر من 50,000 شركة تعتمد منتجات الشركة لخطر الاختراق.
وقالت عملاقة البرمجيات الألمانية “إس أي بي”: إنها كانت أصدرت إرشادات توضح كيفية تهيئة إعدادات الأمان على النحو الصحيح في عامي 2009 و2013، ولكن البيانات التي جمعتها شركة الأمن “أونابسيس” Onapsis تبين أن 90% من أنظمة “إس أي بي” المتأثرة لم تكن محمية كما يجب.
وقال ماريانو نونيز – الرئيس التنفيذي لشركة “أونابسيس” المتخصصة في تأمين تطبيقات الأعمال، مثل تلك التي قدمتها “إس أي بي” وأوراكل: “في الأساس، يمكن أن تتعطل أعمال شركة في غضون ثوانٍ”. وأضاف: “باستغلال هذه الثغرات، يمكن للقراصنة سرقة أي شيء موجود على أنظمة ‘إس أي بي’ الخاصة بالشركة، وكذا يمكنهم تعديل أي معلومات تُوجد هناك. هذا؛ ويمكنهم القيام بأعمال الاحتيال المالي، أو سحب الأموال، أو تخريب الأنظمة وتعطيلها”.
ومن جانبها؛ قالت “إس أي بي”: “إن ‘إس أي بي’ توصي بقوة بتثبيت الإصلاحات الأمنية وهي تُصدر”. مع الإشارة إلى أن أكثر من 90% من أكبر 2000 شركة حول العالم تستخدم برمجيات “إس أي بي” لإدارة كل شيء بدءًا من كشوف رواتب الموظفين، إلى توزيع المنتجات والعمليات الصناعية”.
ويقول خبراء أمنيون إن الهجمات على تلك الأنظمة يمكن أن تكون مدمرة للغاية، وذلك للشركة الضحية، وسلسلة التوريد التابعة لها الأوسع نطاقًا على حد سواء. هذا؛ ويقوم عملاء “إس أي بي” بتوزيع 78% من المواد الغذائية في العالم، و 82% من الأجهزة الطبية العالمية، حسبما تقول الشركة على موقعها على الإنترنت.
وقال مستشار الأمن في شركة “سوجيتي” Sogeti (ماثيو جيلي) – وهو أحد الباحثين الذين طوروا الثغرات التي صدرت على الإنترنت الشهر الماضي: إن المشكلة تتعلق بآلية تواصل تطبيقات “إس أي بي” مع بعضها داخل الشركة.
وقال جيلي: إن لم تهيأ إعدادات الأمان الخاصة بالشركة كما يجب، فسيكون بإمكان القراصنة خداع أحد التطبيقات؛ للاعتقاد بأنه منتج آخر من ‘إس أي بي’، ليحصل بالنتيجة على حق الوصول الكامل، دون الحاجة إلى أي بيانات اعتمادٍ لتسجيل الدخول”.
وقالت “إس أي بي”: إن أمان العملاء يمثل أولوية بالنسبة لها، وقد أظهرت الثغرات الأمنية حاجة العملاء لتثبيت الإصلاحات الأمنية الموصى بها عند إصدارها. وقالت في بيان: “الأمن عملية تعاونية، لذلك ينبغي لعملائنا وشركائنا حماية أنظمتهم كذلك”.
