Beheer

Security
SAP

SAP-klanten laten zich hacken via 6 jaar geleden gedicht lek

12 mei 2016
Het valt moeilijk te begrijpen, maar toch gebeurt het opnieuw: zeker 36 bedrijven zijn gehackt omdat ze een aanpassing van hun SAP-systeem niet hebben aangebracht of hebben teruggedraaid. De US-CERT waarschuwt nu.

De hackers weten gebruik te maken van de Invoker Servlet, een functie die SAP ooit inbouwde in zijn NetWeaver Application Server Java systems. Deze functie maakt het mogelijk bepaalde Java-applicaties te draaien zonder wachtwoord of authenticatie. Dat was bedoeld voor ontwikkelomgevingen, om sneller te kunnen ontwikkelen en testen. Dat bleek een kwetsbare opzet. Hackers kunnen langs die weg doordringen tot alle hoeken en gaten van het systeem. SAP schakelde deze functie daarom al in  2010 standaard uit.

Kennelijk zijn er toch organisaties die er in de afgelopen 6 jaar geen nieuwe SAP-versie hebben geïnstalleerd, of zelfs willens en wetens hebben doorgewerkt met deze kwetsbare opzet. Kennelijk zijn er ook bedrijven die de Invoker Servlet in productieomgevingen gebruiken. En kennelijk is het voor sommige bedrijven ook te veel werk om hun maatwerk zo aan te passen dat die veilig te gebruiken is. Eén van de nu geconstateerde problemen is namelijk, dat de standaard-instelling overschreven kan worden door SAP Java-toepassingen. 

Zeker 36 bedrijven gehackt

De afgelopen 3 jaar zijn zeker 36 bedrijven gehackt te zijn dankzij de Invoker Servlet-functie, meldt Onapsis in een onderzoeksrapport. Hetzelfde rapport meldt ook dat 6 jaar op je handen zitten bij een bekende bug voor SAP-gebruikers niet uitzonderlijk is. Onapsis vindt zelfs nog kwetsbaarheden in SAP-implementaties die 10 jaar geleden al gepatcht zijn.

Welke bedrijven nu in gebreke  blijven, is niet heel helder. Wel is duidelijk dat er nutsbedrijven, telecombedrijven en staalproducenten bij zitten. Het Amerikaanse Computer Emergency Response Team neemt deze waarschuwing van Onapsis heel serieus. US-Cert adviseert gebruikers om hun systemen op dit punt zonder dralen aan te passen. Het is de eerste keer dat het Amerikaanse CERT zo'n advies verstrekt aan SAP-gebruikers.

 

Lees meer over
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.