Beheer

Security
wanhoop angst bezorgd

SAP: Kom op gebruikers, patch nou eens, voor je eigen bestwil

Kwetsbare SAP-systemen blijven maanden, soms jaren van internet te benaderen.

© Shutterstock shellygraphy
7 april 2021

Kwetsbare SAP-systemen blijven maanden, soms jaren van internet te benaderen.

SAP en Onapsis hebben een verontrustend rapport gepubliceerd waaruit blijkt dat het patchen van SAP-systemen vaak ernstig wordt verwaarloosd.

Tussen juni 2020 en maart 2021 zijn meer dan 1500 SAP-gerelateerde cyberaanvallen geregistreerd, waarvan er zeker 300 succesvol waren. De oorzaak lag in kwetsbaarheden waar al lang patches voor beschikbaar zijn, concludeert ZDNet. SAP brengt iedere maand updates uit tegelijk met Adobe en Microsoft (Patch Tuesday) waarmee onveilige code wordt gerepareerd.

Maar uit het onderzoek blijkt dat heel veel beheerders die patches gewoon laten voor wat ze zijn. Het gevolg is dat kwetsbaarheden met wel de maximale CVSS-score, maanden, soms zelfs jaren nadat de patches zijn uitgebracht, onbehandeld blijven.

Direct toegang tot kern van organisatie

Volgens de beide bedrijven worden de kwetsbaarheden ook steeds sneller misbruikt, vaak binnen 72 uur nadat ze algemeen bekend zijn geworden. Bij misbruik kunnen de aanvallers in veel gevallen de controle krijgen over de hele SAP-applicatie. Daarbij komen ze langs getroffen beveiligingsmaatregelen en compliancecontroles. Vanwege de aard van de systemen hebben de aanvallers onmiddellijk toegang tot heel gevoelige bedrijfsinformatie en krijgen ze de mogelijkheid financiële fraude te plegen. Nalatigheid kan ook serieuze maatregelen van de toezichthouders opleveren.

In het rapport sommen de leverancier en de beveiligingsonderzoeker de meest voorkomende ongepatchte kwetsbaarheden op. Daarvan hebben drie de CVSS-score 10. Van de zes zijn er drie al in 2016 ontdekt en van een reparatie voorzien.

MELD JE AAN VOOR DE SECURITY GAME!

Meld je gratis aan voor de Security Game van AG Connect op donderdag 22 april. Tijdens deze middag ga je de strijd aan met hackers in een echte security escaperoom. Game-elementen worden afgewisseld met inhoudelijke sessies over security. Meer weten? Ga naar de website voor meer informatie of aanmelden.

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.