De Amerikaanse overheid waarschuwt organisaties met SAP-systemen om de configuratie te controleren, nu er exploits online zijn verschenen die het mogelijk maken om toegang tot onveilige SAP-configuraties te krijgen. De waarschuwing is afkomstig van het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het ministerie van Homeland Security.

SAP is software voor bedrijfsprocessen en is vooral binnen grote ondernemingen populair. Vorige maand werd er tijdens een securityconferentie een presentatie gegeven over onveilig geconfigureerde SAP-systemen en hoe er misbruik van de SAP Gateway en Message Server gemaakt kan worden. Tevens publiceerde de onderzoeker die de presentatie gaf verschillende exploits.

Via de SAP Gateway kunnen niet-SAP-applicaties met SAP-applicaties communiceren. In het geval de access control list (ACL) van de SAP Gateway niet goed is ingesteld kunnen anonieme gebruikers besturingssysteemcommando's uitvoeren. Onderzoekers vonden in de Verenigde Staten 900 van dergelijke kwetsbare systemen. Het CISA merkt daarbij op dat SAP-systemen niet toegankelijk voor het internet horen te zijn.

Organisaties moeten ook letten op de instellingen van de SAP-router. Dit is een programma waarmee SAP-systemen verbinding met externe netwerken kunnen maken. De standaardconfiguratie voor een SAP Gateway laat een interne host anoniem besturingssysteemcommando's uitvoeren. Als een aanvaller een SAP-router kan benaderen, kan de router als een interne host fungeren en de verzoeken van de aanvaller doorsturen, waardoor het op afstand uitvoeren van code mogelijk is. Bijna 1200 SAP-routers zijn vanaf het internet toegankelijk.

Als laatste wordt er gewaarschuwd voor de instellingen van SAP Message Servers. Die luisteren standaard naar een bepaalde poort en maken geen gebruik van authenticatie. Als een aanvaller toegang tot de Message Server heeft kan die een man-in-the-middle-aanval uitvoeren en zo inloggegevens onderscheppen. Vervolgens is het met deze inloggegevens mogelijk om code op applicatieservers uit te voeren. In de Verenigde Staten bleken 693 Message Servers toegankelijk vanaf het internet te zijn.

Organisaties krijgen van het CISA het advies om voor een veilige configuratie te zorgen, toegang tot de SAP Message Server te beperken en te voorkomen dat SAP-onderdelen toegankelijk vanaf het internet zijn. Gisteren verscheen er ook al een waarschuwing voor onveilige SAP-configuraties, toen van een securitybedrijf. De configuratieproblemen zijn niet nieuw. SAP heeft hier zelf in het verleden ook voor gewaarschuwd. Toch zijn er nog ondernemingen die hun SAP-systemen niet hebben beveiligd.