De helft van de online SAP-servers kan worden gehackt. Dit zegt Alexander Polyakov, cto van ERPScan tijdens de BlackHat 2011 securityconferentie in Las Vegas. De schuldige hiervan is een probleem in het J2EE engine in SAP’s NetWeaver software, waardoor autorisatiecontroles kunnen worden omzeild.
Polyakov stelt dat hij erin slaagde om gebruikers te creëren als lid van de admingroep door middel van twee niet geautoriseerde requests naar het systeem. En dat zou ook op systemen kunnen die beschermd zijn met twee-factor authenticatiesystemen. In een test zocht ERPScan online SAP-systemen op, en naar verluidt kon vijftig procent van de gevonden systemen op die wijze worden gehackt.
Polyakov stelt dat het niet alleen een nieuwe kwetsbaarheid betreft, maar een hele reeks van kwetsbaarheden die voordien wel in theorie, maar in de praktijk niet echt voorkwamen. 'Tijdens ons onderzoek vonden we alleen verscheidene voorbeelden in standaard systeemconfiguratie, maar omdat bedrijven hun systemen aanpassen aan hun bedrijfsprocessen, zullen nieuwe varianten van deze klasse in de toekomst mogelijk worden ontdekt bij bedrijven.'
In samenwerking met Datanews
Dit is helemaal waar…vele vd. SAP applicatie landschap zijn te complex aan het worden. Meestal heb je 4 `a 7 servers voor nodig waar vroeger maar 1 of 2 zijn. Vele vd. zogenaamde SAP Basis Engineers heeft ook helemaal geen kaas van gegeten…de weet niet eens hoe unix-beheer in elkaar zit….Het wordt alleen maar gekker en security of server niveau zijn meestal vergeten zaken geworden. En meestal de unix beheerders waar ik van vind moet meer belangrijker role dan SAP Basis Engineers zijn meestal genegeerd of ondergeschikt role gekregen binnen de beheer structure…..dom…dom.