小心! Oracle与SAP ERP遭骇风险大增,,安全公司Digita

原标题：小心! Oracle与SAP ERP遭骇风险大增

示意图，与新闻事件无关。 安全公司Digital△Shadows及Onapsis周三公布安全研究报告，显示全球两大ERP产品SAP及Oracle不论在漏洞数量及攻击程式都较往年大为增加，成为骇客下手的理想目标。这项报告特别锁定全球市...

示意图，与新闻事件无关。

安全公司Digital△Shadows及Onapsis周三公布安全研究报告，显示全球两大ERP产品SAP及Oracle不论在漏洞数量及攻击程式都较往年大为增加，成为骇客下手的理想目标。

这项报告特别锁定全球市占率最大的SAP及Oracle△E-Business△Suite（EBS）。根据报告，10年来，SAP和甲骨文Oracle△EBS安全漏洞及修补程式大量增加，截自目前，SAP和Oracle△EBS应用系统（不只是ERP）的CVE修补程式各已超过4000和850个。

研究人员指出，许多ERP已知漏洞因为企业未能及时修补，加上攻击工具可以在地下论坛、暗网或专门网站上交易，导致企业曝险。研究人员分析单一攻击工具网站，就看到将近50个SAP和30个Oracle△EBS相关攻击套件可公开取得，而且十年来快速增加。从地下论坛、暗网、犯罪网站、社交网站讨论这两大ERP系统的攻击工具及漏洞的讨论数量大增的趋势来看，坏蛋显然对两家公司的产品愈来愈有兴趣。

运用Google或IoT/装置搜寻引擎如Shodan、Censys即可侦测到能公开由网际网络存取的ERP系统。光是美国就有超过3,000个可由网际网络存取的ERP服务。此外，企业员工或外包商也可能泄露SAP或Oracle△ERP的技术资讯，例如研究人员从云端系统Trello找到SAP用户登入资讯，或从连网FTP及SMB服务收集到企业内网资讯。

研究人员指出，包含大量财务、商业流程、制造物料及客户资料等重要资讯的ERP系统吸引了骇客组织、犯罪集团甚至国家政府的兴趣，他们无所不用其极寻找并利用这些系统的漏洞，再以DoS、DDoS、银行木马或APT等工具入侵，例如Onapsis研究人员发现其研究样本中，超过25%都存在Invoker△Servlet漏洞。雪上加霜的是，企业用户的安全习惯不佳，像是使用预设密码，也为骇客开了方便之门。

因应这项报告，美国国土安全部周三也发出安全警告，呼吁美国企业强化ERP应用系统安全。

本周稍早 McAfee安全研究也发现数个贩售RDP（remote△desktop△protocol）协议未设访的装置的暗网市集。其中有的市集只要10美元就可以买到这些门户洞开的系统名单，骇客不用撰写复杂的零时差攻击程式就能长驱直入。

橙山网（Csnd.net）简评：安全公司Digital△Shadows及Onapsis周三公布安全研究报告，显示全球两大ERP产品SAP及Oracle不论在漏洞数量及攻击程式都较往年大为增加，成为骇客下手的理想目标。这项报告特别锁定