50.000 bedrijven kwetsbaar door configuratiefouten in SAP software
03-05-2019
Deel dit artikel:

50.000 bedrijven kwetsbaar door configuratiefouten in SAP software

Tot 50.000 bedrijven zijn kwetsbaar door verkeerd geconfigureerde SAP software. Exploits die cybercriminelen in staat stellen deze misconfiguraties uit te buiten zijn online gepubliceerd op fora.

Dit meldt Onapsis, die de exploits '10KBLAZE' noemt. De exploits maken misbruik van configuratiefouten in SAP NetWeaver installaties, waaronder SAP S4/HANA. Onapsis wijst erop dat deze misconfiguraties al meer dan 10 jaar geleden door SAP in SAP Security Notes onder de aandacht zijn gebracht.

Ongeveer 900.000 systemen kwetsbaar

Het beveiligingsteam van Onapsis schat dat ongeveer 900.000 SAP systemen wereldwijd verkeerd zijn geconfigureerd. De misconfiguraties kunnen ertoe leiden dat aanvallers weten door te dringen tot het volledige platform en in staat zijn alle data van bedrijfsapplicaties te verwijderen, gevoelige data te stelen of gegevens aan te passen.

Kwetsbare applicaties zijn onder meer SAP Business Suite, SAP ERP, SAP CRM, SAP HCM en SAP PLM. Om misbruik te maken van de exploits heeft een aanvaller netwerktoegang tot een systeem nodig.

Gevaar aantonen

Reuters meldt dat de exploits zijn ontwikkeld door beveiligingsonderzoekers die hiermee het gevaar van deze configuratiefouten willen aantonen. Een van deze onderzoekers is Mathieu Geli, security consultant bij Sogeti. "We wijzen op iets dat al door SAP is verholpen, maar wat gebruikers traag op pakken", zegt Geli tegen Reuters. "We proberen hier aandacht voor te vragen en zeggen: 'Jongens, die is kritiek, jullie moeten dit verhelpen.'"

SAP laat in een reactie aan Reuters weten dat de veiligheid van klanten een prioriteit is en de kwetsbaarheden aantonen dat klanten patches zo snel mogelijk moeten installeren. "Security is een samenwerkingsproces, dus onze klanten en partners moeten hun systemen eveneens beveiligen."

Terug naar nieuws overzicht

Tags

Security
Security