使用Oracle和SAP ERP系统的企业要注意了

根据最新安全报告指出，当前全球两大ERP产品SAP和Oracle漏洞数量再次暴增，由此而成为骇客瞄准的理想目标。

据统计，10年来SAP和甲骨文Oracle EBS安全漏洞及修补程序大量增加，截止目前，SAP和Oracle EBS应用系统（不只是ERP）的CVE修补程序各已超过4000和850个。

研究人员指出，许多ERP已知漏洞因为企业未能及时修补，加上攻击工具可以在地下论坛、暗网或黑市网站上交易，导致企业暴露出极大风险。研究人员分析单一攻击工具网站，就看到有大约50个SAP和30个Oracle EBS相关攻击套件可公开获得，并且每年快速增加。

运用Google或IoT/设备搜索引擎如Shodan、Censys即可检测到暴露在互联网上公开的ERP系统，仅美国就有超过3000个ERP服务可被搜到。此外，企业员工或外包商也可能泄露SAP或Oracle ERP的技术细节，例如研究人员从云端系统Trello找到SAP用户登入信息，或从连网FTP及SMB服务收集到企业内网数据。

研究人员指出，大量财务、商业流程、制造物料及客户数据等重要信息的ERP系统吸引了骇客组织、犯罪集团甚至有他国背景势力的觊觎。这些人正千方百计地寻找并利用这些系统的漏洞，再以DoS、DDoS、银行木马或APT等工具入侵，例如Onapsis研究人员发现其研究样本中，超过25%都存在Invoker Servlet漏洞。

此外，更令人担心是，现阶段的企业用户并没有养成良好的安全习惯，比如使用预设密码等积极防护的手段，这显然为骇客打开了方便之门，而上述种种都让使用ERP产品的企业暴露在风险中，需要提高警惕。