Beveiligingsexpert Alexander Polyakov, cto van het beveiligingsbedrijf ERPScan, meldt een beveiligingslek in de nieuwe versie van de erp-suite SAP Hana. Volgens Polyakov kunnen aanvallers via universele standaard keys de versleutelde wachtwoorden van de log-in ontsleutelen en zo toegang krijgen tot alle onderdelen en data van het in-memory databasesysteem.
Hij presenteerde het lek donderdag 18 juni 2015 tijdens het evenement Black Hat Sessions XIII in Ede. Volgens de beveiligingsexpert bestaat de kwetsbaarheid doordat gebruikerswachtwoorden en root keys binnen Hana met standaard encryptiesleutels worden opgeslagen. ‘Dat geeft hackers relatief eenvoudig toegang. De sleutel is voor iedere installatie hetzelfde tenzij de beheerder dit verandert heeft. Wij hebben tijdens penetratietesten ontdekt dat vrijwel niemand deze sleutel wijzigt’, zei Polyakov. Volgens hem kampt mobiele SAP-platform met hetzelfde euvel.
Volgens officiële richtlijnen van SAP wordt overigens aangeraden de statische masterkeys van producten altijd te veranderen, maar kennelijk laten beheerders dit na. De securityspecialist merkt op dat SAP deze kwetsbaarheid en ook eerdere SQL-injectie zwakke plekken nog niet gepatcht heeft.
Service Pack 10
SAP bracht begin deze week een nieuwe versie van het platform uit. Service Pack 10 heeft onder andere functionaliteiten die het pakket beter schaalbaar moeten maken.
Ook zijn toepassingen toegevoegd om databronnen op afstand te synchroniseren. Als ongeautoriseerde gebruikers toegang krijgen tot het systeem kunnen ze ook toegang krijgen tot die bedrijfsinformatie.
ERPScan test de beveiliging van ERP-software van SAP en Oracle. In 2014 ontdekte het dat SAP HANA-installaties kwetsbaar waren voor SQL-aanvallen.
Mitigatie:
1. Change the Root Key of the Internal Data Encryption Service
= http://tinyurl.com/petzs48
2. Change the SSFS Master Key
= http://preview.tinyurl.com/pp59rap
3. Change the Secure User Store Encryption Key
= http://tinyurl.com/pp59rap