如果你活跃在SAP生态空间，或者你对网络安全感兴趣，你可能已经注意到了"10KBlaze"，它目前正在互联网上燃烧。一家SAP安全提供商发布消息称，众所周知但尚未修补的SAP漏洞仍使90%的SAP客户面临风险。这是老生常谈的消息。然而，淘客程序，就在最近，新的漏洞利用已经公开；这些漏洞利用使得更大的社区能够针对SAP实例。

国土安全部计算机应急准备小组（DHS-CERT）的网站上可以找到漏洞描述和缓解措施的高级摘要。此外，全球媒体，如纽约时报，路透社和许多其他媒体…报道了一个新的和迫在眉睫的安全风险完全相同的故事情节。然而，由于所有媒体的关注，试图破坏SAP系统的尝试可能会显著增加，例如，我看到不少帖子要求提供bespoken漏洞的下载链接。经过数小时的调查，这些脚本可以在GitHub上找到。在不涉及太多技术细节的情况下，问题的核心仍然是系统配置错误。SAP标准提供了一种验证网关和消息服务器配置（WIKI）的方法。感谢作者的研究，还列出了补救和检测选项。

我本人在SAP安全领域工作，我只能确认，仍然存在所述漏洞的实时SAP环境的数量高得惊人。到目前为止，10KBlaze漏洞并不是唯一的弱点，几乎没有更完善的安全缺陷未修补、未缓解和未监控。

就在最近，我们在准备会议演示平台时亲身经历了令人不安的事实，我们的团队通过随机列出20个可公开访问的SAP实例进行了测试，这些实例都是大中型组织的生产实例（大部分可以通过其系统ID识别）。所列系统中有12个存在石器时代的安全配置缺陷。它不需要火箭科学来阻止或破坏环境。我们已经联系了所有相关的公司和组织，向他们指出了漏洞。我们不在SAP安全缓解的市场上。所以共享的信息绝对不是出于商业动机。无论如何，漏洞细节真的应该通过媒体宣传来披露吗？依我拙见，返利平台，答案很短，不！在一些论坛帖子中，有关10KBlaze的新闻被贴上了FUD（又名）的标签，即笨拙的销售策略。好吧，回到话题上来，我们与受影响的SAP客户分享漏洞细节的经验：在解决一个明显的安全漏洞方面，12个联系人中只有4个给出了积极和立即的响应！与SAP联系的客户数量非常少，因此统计准确性值得商榷。尽管如此，这种"不感兴趣"的经历还是让人大吃一惊。

这些可能只是偷工减料的例子，数据中心解决方案，尽管它确实把10KBlaze的话题放在了正确的角度。现实情况是，大数据下，炒作可能无济于事，不仅因为它把弹药交给了坏人，还因为信息丢失了，每次看起来都像狼来了。是的，存在漏洞，是的，SAP知道这些漏洞，淘客发单软件，是的，他们发布了修补程序和建议，不是的，修补程序在任何时候都没有完全准确地应用，因为这可能是不可能做到的。希望通过提高对任何SOC团队和公司预算所面临挑战的认识，会有一些好处将协调以帮助解决这些问题。