محققان امنیتی كد اثبات حمله ای را ارائه دادند كه می توانند توسط آن به پایگاه داده سیستمی كه بر روی آن ERP مایكروسافت نصب است دسترسی یابند.
این هفته Tom Eston و Brett Kimmel از شركت SecureState در كنفرانس كلاه سیاه ابوظبی نرم افزارهای مخربی را نشان دادند.سیستم ERP شامل اوراكل و SAP می شود در حالی كه نرم افزار Dynamics Great Plains
مایكروسافت برای كسب و كارهای متوسط پیشنهاد می گردد. در این كنفرانس
محققان راهی را پیدا كردند كه می تواند از طریق نرم افزار كلاینت Great Plains به پایگاه داده سرور SQL مایكروسافت دسترسی یابند. قبل از این دسترسی، مجرمان سایبری باید به منظور دانلود كد مخرب بر روی سیستم موردنظر، كاربر نرم افزار Great Plains را متقاعد نمایند تا بر روی یك فایل ضمیمه مخرب كلیك كند یا یك وب سایت خرابكار را مشاهده نماید. زمانی كه كد دانلود شود، می تواند ارتباطات بر روی ODBC بین كلاینت و پایگاه داده را رهگیری نماید و نیز دستوراتی را تزریق كند.
یكی
از اهداف این تحقیق تشویق گروه های حسابداری برای اتخاذ كنترل های دقیق
تری برای تشخیص اینگونه حملات می باشد. با وجود اهمیت حیاتی امنیت ERP، این نرم افزار اغلب برای مدت های طولانی به روز رسانی نمی شود.
در ماه می، شركت مشاوره Onapsis طی تحقیقاتی نشان داد كه 95 درصد از بیش از 600 سیستم SAP نسبت به این حمله آسیب پذیری بوده اند و عمدتا به دلیل عدم اعمال اصلاحیه ها بوده است.
موسسه نرم افزاری ترسیم رایانه شرق