‘Heel veel SAP-systemen kwetsbaar’

Zonder authenticatie

35% van de kwetsbare SAP-servers draait versie 7 EHP 0 van NetWeaver, SAP's platform dat de basis is voor heel veel SAP-applicaties sinds Business Suite. De genoemde versie heeft bijna acht jaar geleden, in november 2005, voor het laatst een update gehad. 23% van de kwetsbare servers draait een NetWeaver-versie die in april 2010 voor het laatst een update kreeg. Ook in de beveiliging van SAP NetWeaver J2EE zitten gaten, zegt Polyakov, waarmee aanvallers zonder authenticatie nieuwe gebruikers en rollen in SAP kunnen aanmaken.

Geen toegangscontrole

Polyakov maakt zijn onderzoek volgende maand openbaar. Hij zegt verder dat één op de drie SAP gebruikende bedrijven routers gebruikt die publiek toegankelijk zijn via een ‘default port’. Polyakov zegt ongeveer 15.000 servers te hebben aangetroffen die achter 5000 onveilige routers staan. 15% van die routers zijn niet uitgerust met toegangscontrole, waardoor aanvallers op het interne netwerk kunnen komen.

Volledig gecompromitteerd

Eén op de veertig organisaties bleek op afstand door aanvallers te benaderen via kwetsbaarheden in SAP Management Console, waarmee SAP-systemen over te nemen zijn. Eén op de 120 organisaties is op afstand over te nemen door kwaadaardige code te injecteren via HostControl. De SAP Dispatcher service voor client-server communicatie bleek in één op de 20 gevallen ‘open’ te staan. Via ‘default accounts’ kunnen in dat geval SAP-systemen volledig gecompromitteerd worden, stelt Polykov.