ایس اے پی لوگو 26 مارچ ، 2018 کو ووڈ میڈ ، جوہانسبرگ ، جنوبی افریقہ میں ایس اے پی کمپنی کے دفاتر میں دیکھا جاتا ہے۔ تصویر: رائٹرز

---

لندن:دو سائبرسیکیوریٹی فرموں نے بدھ کے روز شائع ہونے والی ایک تحقیق میں کہا ، کم از کم ایک درجن کمپنیوں اور سرکاری ایجنسیوں کو نشانہ بنایا گیا ہے اور ہزاروں افراد کو مینجمنٹ سوفٹ ویئر میں پرانی سیکیورٹی کی خامیوں کا استحصال کرنے والے ہیکرز نے ڈیٹا کی خلاف ورزی کا سامنا کیا ہے۔

محکمہ ہوم لینڈ سیکیورٹی نے سیکیورٹی فرموں کے ڈیجیٹل شیڈو اور اوناپسس کے مطالعے کا حوالہ دیتے ہوئے ایک انتباہ جاری کیا ہے جس میں سافٹ ویئر بنانے والوں اوریکل اور ایس اے پی کے ہزاروں غیر منظم کاروباری نظاموں کو لاحق خطرات کو اجاگر کیا گیا ہے۔

محققین نے کہا کہ یہ ہیکرز کو کارپوریٹ راز چوری کرنے کے قابل بنا سکتے ہیں۔

نئی شائع شدہ رپورٹ میں سیکیورٹی فرموں اوناپسس اور ڈیجیٹل شیڈو نے کہا کہ اوریکل یا ایس اے پی کے ذریعہ مشورہ دینے میں ناکام ہونے کے بعد ، دو سرکاری ایجنسیوں اور میڈیا ، توانائی ، اور مالیات کے شعبوں میں موجود فرموں کے نظاموں کو نشانہ بنایا گیا۔

برطانیہ کی فنانس فرموں نے سائبر جرائم سے لڑنے کے لئے مل کر کام کرنے کی تاکید کی

الارم کو اس لئے اٹھایا گیا تھا کیونکہ فرمیں انتہائی حساس اعداد و شمار کو محفوظ کرتی ہیں - جس میں مالی نتائج ، مینوفیکچرنگ راز ، اور کریڈٹ کارڈ نمبر شامل ہیں - کمزور مصنوعات میں ، جسے انٹرپرائز ریسورس پلاننگ (ERP) سافٹ ویئر کے نام سے جانا جاتا ہے اور صارفین ، ملازمین اور سپلائرز کے انتظام کے لئے متعلقہ ایپلی کیشنز میں۔

ہوم لینڈ سیکیورٹی کے قومی سائبرسیکیوریٹی اینڈ کمیونیکیشن انٹیگریشن سینٹر میں "بدنیتی پر مبنی سائبر سرگرمی کو نشانہ بنانے والی ERP ایپلی کیشنز" کے عنوان سے ایک انتباہ میں ، مطالعے کا حوالہ دیتے ہوئے ، ERP ایپلی کیشنز پر ہیکر کی توجہ میں اضافے کی علامتوں کو اجاگر کیا گیا۔

یو ایس کمپیوٹر ایمرجنسی ریڈیینس ٹیم (یو ایس-سی ای آر ٹی) کے ایک بازو این سی سی آئی سی نے کہا ، "حملہ آور حساس معلومات تک رسائی حاصل کرنے کے لئے ان خطرات کا استحصال کرسکتا ہے۔"

اوناپسیس کے چیف ایگزیکٹو ماریانو نیوز نے رائٹرز کو بتایا کہ ان میں سے بہت سے معاملات ایک دہائی یا اس سے زیادہ عرصے سے ہیں ، لیکن نئی رپورٹ میں ہیکر کارکنوں ، سائبر کرائمینلز اور سرکاری جاسوس ایجنسیوں کی طرف سے ان امور کو فائدہ اٹھانے میں تیزی سے بڑھتی ہوئی دلچسپی ظاہر کی گئی ہے۔

انہوں نے کہا ، "یہ حملہ آور برسوں پرانے خطرات سے استحصال کرنے کے لئے تیار ہیں جو انہیں بغیر کسی پتہ لگائے ایس اے پی اور اوریکل سسٹم تک مکمل رسائی فراہم کرتے ہیں۔" "چیف سیکیورٹی افسران اور سی ای او کے مابین فوری سطح کی سطح کہیں زیادہ ہونی چاہئے۔"

ایس اے پی کے ترجمان نے کہا کہ ، عام طور پر ، کمپنی اپنی تنظیم میں سیکیورٹی کے معاملات کو سنجیدگی سے لیتی ہے۔

"ہمارے تمام صارفین کو ہماری سفارش یہ ہے کہ ایس اے پی سیکیورٹی پیچ دستیاب ہوتے ہی - عام طور پر ہر مہینے کے دوسرے منگل کو - ایس اے پی انفراسٹرکچر کو حملوں سے بچانا ہے۔

اوریکل فوری طور پر تبصرہ کرنے کے لئے دستیاب نہیں تھا۔

دونوں کمپنیاں اپنے سافٹ ویئر میں معلوم سیکیورٹی کیڑے پر باقاعدہ پیچ جاری کرتی ہیں۔ تاہم ، صارفین اکثر خوف سے ٹھیک ہونے سے گریزاں رہتے ہیں تاکہ ایسا کرنے سے ان کی تیاری ، فروخت یا مالیات کی سرگرمیوں میں خلل پڑسکے۔

موبائل یا آن لائن صارفین تک پہنچنے کے لئے روایتی طور پر بیک آفس بزنس سسٹم کو کلاؤڈ سے لنک کرنے کے لئے تنصیب کی غلطیوں یا بڑھتی ہوئی چالوں سے بھی خطرات پیدا ہوتے ہیں۔

غیر واضح طور پر سیکیورٹی

نیوز نے کہا کہ نیا انتباہ 2016 کے ہوم لینڈ سیکیورٹی ڈیپارٹمنٹ کے بعد کچھ ایس اے پی صارفین کو انتباہ کیا گیا ہے جب چینی ہیکرز کے ذریعہ درجنوں کمپنیوں کے ذریعہ استعمال ہونے والے تاریخ سے باہر سافٹ ویئر کا استحصال کرنے کے منصوبوں کا انکشاف ہوا۔

اپنی تازہ ترین تحقیق میں ، اوناپسس اور آن لائن مانیٹرنگ فرم ڈیجیٹل شیڈو نے 3،000 سے زیادہ اعلی کمپنیوں ، سرکاری ایجنسیوں اور یونیورسٹیوں میں انٹرنیٹ کے سامنے آنے والی 17،000 ایس اے پی اور اوریکل سافٹ ویئر کی تنصیبات کی نشاندہی کی۔

انہوں نے متاثرہ تنظیموں کا نام نہیں لیا ، لیکن رائٹرز کے ذریعہ دیکھا گیا ڈیٹا دنیا کی بہت سی مشہور فرموں کو خطرہ میں ظاہر کرتا ہے۔

اس رپورٹ کے مصنفین نے متنبہ کیا ہے کہ کم از کم 10،000 سرور غلط طور پر تشکیل شدہ سافٹ ویئر چلا رہے ہیں جو معروف ایس اے پی یا اوریکل کے کارناموں کا استعمال کرتے ہوئے براہ راست حملہ کرنے کے تابع ہوسکتے ہیں۔

انہوں نے بدھ کی رپورٹ میں کہا کہ ایس اے پی میں 4،000 سے زیادہ معلوم کیڑے سیکیورٹی کے خطرات لاحق ہیں ، خاص طور پر پرانے نظاموں میں جن کو آپریٹرز درست کرنا غیر معاشی سمجھتے ہیں۔

گارٹنر انڈسٹری کے تجزیہ کار نیل میکڈونلڈ نے گذشتہ سال کارپوریٹ سیکیورٹی ٹولز کے جائزے میں لکھا تھا کہ "عوامی طور پر انکشاف کردہ حملے شاذ و نادر ہی ہیں ، لہذا اس مسئلے کو بڑی حد تک نظرانداز کیا گیا ہے۔"

سب سے زیادہ پروفائل حملوں میں سے ایک 2013 اور 2014 میں اس وقت پیش آیا جب ہیکرز نے امریکی تحقیقات کی خدمت کو توڑنے کے لئے ایس اے پی کے خطرے کا استعمال کیا ، جو وفاقی ملازمین کے لئے پس منظر کی جانچ پڑتال اور سیکیورٹی کلیئرنس فراہم کرنے والا سب سے بڑا تجارتی فراہم کنندہ ہے۔

اٹلانٹا کے عہدیداروں نے سائبر حملے کے خراب اثرات ظاہر کیے

اس سال ، ہیکرز نے ویب بلاگک سرورز میں ایک خطرے کا استحصال کرنا شروع کیا جس کو اوریکل نے گذشتہ اکتوبر میں طے کیا تھا۔ رپورٹ میں کہا گیا ہے کہ ان کے اہداف میں اوریکل پیپل سوفٹ ای آر پی سسٹم پر حملہ کرنا شامل ہے تاکہ کان کنی کریپٹو کرنسیوں سے رقم کمایا جاسکے۔

گوگل سرچز ، سوشل میڈیا چیٹر اور ڈارک ویب کے ذریعہ ڈیجیٹل سائے کا مقابلہ کیا گیا جہاں انہوں نے مخصوص SAP اور اوریکل خطرات کو کس طرح استعمال کرنے کے بارے میں چینی اور روسی ہیکر فورمز میں بات چیت کی۔

انہوں نے یہ بھی دریافت کیا کہ کچھ ہیکرز مباحثے والے بورڈوں پر چھپے ہوئے ہیں جہاں تیسری پارٹی کے ٹکنالوجی کے ٹھیکیدار کام کے نکات بانٹتے ہیں ، بشمول پہلے سے طے شدہ پاس ورڈ جن کو ہیکرز کچھ سسٹم تک رسائی کے ل use استعمال کرسکتے ہیں۔

مطالعے کے مطابق ، دو سال قبل ایس اے پی اور اوریکل کی کمزوریوں کا استحصال کرنے کے طریقوں میں ہیکر کی دلچسپی اور گذشتہ سال ٹویٹر میں مزید 160 فیصد کود پڑی۔