Nieuws
image

"Tienduizenden bedrijven met onveilige SAP-configuraties"

donderdag 2 mei 2019, 13:53 door Redactie, 3 reacties

Er zijn wereldwijd tienduizenden bedrijven met onveilige SAP-configuraties waardoor aanvallers de systemen op afstand kunnen compromitteren. Exploits om deze aanvallen uit te voeren zijn online verschenen. SAP is software voor bedrijfsprocessen en is vooral binnen grote ondernemingen populair.

Vorige maand demonstreerde beveiligingsonderzoeker Mathieu Geli tijdens een securityconferentie hoe verkeerd geconfigureerde SAP-installaties zijn te compromitteren. Het probleem wordt veroorzaakt door een verkeerd geconfigureerde Access Control List in SAP Gateway of Message Server. Message Server en Gateway zijn in alle SAP-omgevingen aanwezig. Daardoor kunnen alle SAP NetWeaver Application Servers (AS) en S/4HANA-systemen risico lopen.

Door de misconfiguratie kan een aanvaller een applicatie laten denken dat hij een ander SAP-product is en zo zonder inloggegevens volledige toegang tot het systeem krijgen. De enige vereiste is toegang tot het SAP-systeem. Vervolgens is het mogelijk om informatie in het systeem te benaderen of aan te passen. Ook kan de SAP-installatie worden uitgeschakeld. Het gaat hier echter om bekende problemen waar SAP in het verleden al voor heeft gewaarschuwd.

Veel bedrijven blijken de bekende configuratiefouten niet te hebben hersteld, zo claimt securitybedrijf Onapsis. Het bedrijf analyseerde honderden SAP-installaties bij klanten en schat dat zo'n 90 procent van de SAP-systemen verkeerd is geconfigureerd. Het probleem wordt vergroot doordat Geli de exploits beschikbaar heeft gemaakt waarmee de aanvallen zijn uit te voeren. De onderzoeker wil hiermee het risico van kwetsbaarheden aantonen en experts helpen bij het testen van SAP-systemen.

"We wijzen alleen op iets dat al verholpen is, maar klanten kunnen wat traag zijn. We proberen daar verandering in te brengen door te laten zien dat het belangrijk is en ze het moeten oplossen", aldus Geli. Volgens persbureau Reuters lopen tot 50.000 ondernemingen risico. Bedrijven krijgen dan ook het advies om de aanbevelingen uit de betreffende SAP Security Notes op te volgen (1, 2 en 3).

Reacties (3)
02-05-2019, 17:49 door Anoniem
Wij hebben ooit een pentest vanuit intern laten uitvoeren. We hadden de meeste zaken goed op orde, maar we draaide een verouderde MaxDB database (van SAP) en daar was ook een publieke exploit voor beschikbaar. Dingen die je uit het oog verliest zijn het gevaarlijkst .. Ze konden zo een lokal admin account aanmaken door een commando naar de server te sturen, en vervolgens kan je vanaf daar verder.

Dat was een goed leermoment voor ons wat betreft het bijhouden van ALLE software die binnen het netwerk gebruikt worden.
03-05-2019, 10:52 door Anoniem
Dingen die je uit het oog verliest zijn het gevaarlijkst
Klopt, daarom is een goed Life Cycle Management erg belangrijk. Iets nieuws erin? Dan het oude systeem eruit (of liever nog meerdere oude systemen tegelijk eruit). Wat je niet (meer nodig) hebt hoef je dan ook niet meer te onderhouden én het is weer een aanvalsvector minder.
03-05-2019, 22:29 door Anoniem
SAP en onveilig,

net zo'n 1 -2 tje als, SCADA systemen onveilig vanwege gebrek aan updates en security.

dit weten we al jaren,


zo lang er geen klanten zijn die het boeit, blijft het zo.

lees: het is het niet waard voor bedrijven om de boel te fixen.


als je dus als SAP/scada beveiliger aan de slag wilt, zal je eerst markt moeten creeren door de boel links en rechts te hacken
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search