Bedrijfssoftwareleverancier SAP heeft drie kwetsbaarheden aangepast in SAP Mobile. Dat meldt beveiligingsexpert Onapsis. Volgens de beveiliger gaat het om kwetsbaarheden die een hoog risico vormen en waardoor cybercriminelen toegang kunnen krijgen tot vertrouwelijke bedrijfsgegevens.
Volgens de beveiliger stelden de lekken onbevoegden in staat om gevoelige configuratiewaarden van zakelijke SAP-applicaties te ontsleutelen en te wijzigen. ‘Afhankelijk van de manier waarop organisaties dit platform inzetten, zouden cybercriminelen de kwetsbaarheden kunnen misbruiken om toegang te krijgen tot bedrijfskritische informatie zoals klantengegevens, productprijzen, financiële verslagen, werknemersgegevens, toevoerketens, business intelligence, budgetten, planningen en prognoses.’
Tot de drie ontdekte kwetsbaarheden in SAP Mobile Platform Datavault-API behoort de functionaliteit ‘keystream recovery’. Die zou aanvallers toegang bieden tot kwetsbare mobiele apparaten, zodat ze aanmeldingsgegevens en andere gevoelige informatie van de gebruiker kunnen ontsleutelen. ‘Met behulp van deze gegevens kunnen ze een verbinding maken met andere bedrijfssystemen om toegang tot aanvullende bedrijfsinformatie te krijgen’, aldus de onderzoekers.
De tweede kwetsbaarheid zit in de voorspelbare encryptiewachtwoorden voor configuratie-waarden. Volgens de beveiliger biedt dat aanvallers toegang tot kwetsbare mobiele apparaten, zodat ze gevoelige configuratiewaarden van zakelijke SAP-applicaties kunnen ontsleutelen en wijzigen. ‘Dit maakt een brede reeks van bedrijfsapplicaties vatbaar voor aanvallen.’
Encryptie
Verder boden voorspelbare encryptiewachtwoorden voor opgeslagen gegevens de aanvallers toegang tot kwetsbare mobiele apparaten. ‘Zo kunnen die criminelen gevoelige informatie raadplegen, inclusief versleutelde aanmeldingsgegevens die op het mobiele apparaat zijn opgeslagen. Aan de hand van die informatie kunnen ze een verbinding maken met bedrijfsapplicaties en bedrijfsgegevens opvragen of wijzigen’, aldus de experts.
Organisaties gebruiken SAP Mobile voor het ontwikkelen en implementeren van applicaties. ‘Daardoor kunnen bij onvoldoende beveiliging duizenden gebruikers mogelijk via de mobiele apparatuur van belangrijke leveranciers als Apple, Samsung, Google en Microsoft toegang krijgen tot bedrijfskritische SAP-systemen’, aldus Onapsis in een toelichting.
SAP heeft begin augustus 2015 een beveiligings-update uitgebracht voor het dichten van de kwetsbaarheden. Op donderdag 10 september 2015 organiseert Onapsis een webcast over deze kwetsbaarheden.
