Oudere installaties van SAP Solution Manager bevatten een kwetsbaarheid die SAP-systemen onveilig maakt. Oudere versies van het beheerplatform voor SAP beschikken over een aantal standaardaccounts en -wachtwoorden. Kwaadwillenden kunnen die standaardaccounts misbruiken om op afstand complete SAP-systemen over te nemen. Dat meldt de Wageningse SAP-beveiliger ERP Security (ERP-SEC).
‘Een eerste inventarisatie onder onze klanten laat zien dat bij zeker 50 procent één of meer van deze gebruikersaccounts met een standaard wachtwoord aanwezig is’, meldt Joris van de Vis, researcher bij ERP-SEC.
Hij demonstreerde de kwetsbaarheid tijdens de Troopers Security Conferentie in het Duitse Heidelberg. Die security-conferentie heeft een speciaal programma dat is toegespitst op de beveiliging van SAP-systemen. Van de Vis nam tijdens die demonstratie complete SAP-systemen over via SAP Solution Manager en aangesloten systemen. Daarbij maakte hij gebruik van drie standaard gebruikers-accounts en standaard wachtwoorden.
Van de Vis wijst erop dat organisaties die al een aantal jaren SAP Solution Manager gebruiken het meeste risico lopen. ‘De installatieprocedure van SAP Solution Manager is zo’n vier jaar geleden aangepast. Nu wordt na de installatie een aantal wizzards doorlopen. In het verleden werden gebruikers-accounts automatisch aangemaakt en kregen een standaard wachtwoord. De bedrijven die nu kwetsbaar zijn hebben die post-installatie stap gedaan in de periode dat die stap nog kwetsbaar was en vervolgens nooit aangepast.’
Patchen niet mogelijk
‘Vooral bedrijven die hun SAP-systemen aan internet gekoppeld hebben, lopen risico’s. Denk ook aan scenario’s waarin on-premise distributies koppelingen hebben met bijvoorbeeld ketenpartners of tools voor urenschrijven’, voegt Van de Vis toe.
Volgens de onderzoekers is patchen niet mogelijk, omdat de kwetsbaarheid een set van standaard gebruikers-accounts is. Om de kwetsbaaheid op te lossen moeten organisaties die SAP gebruiken de standaard wachtwoorden wijzigen. SAP heeft een Security Note vrijgegeven om klanten daarbij te helpen.
Volgens ERP-SEC is het detecteren van de kwetsbaarheid lastig. Om dat proces eenvoudiger te maken heeft het een gratis tool vrijgegeven voor SAP-klanten.
Tja zolang SAP systemen worden geinstalleerd door bedrijven die geen enkel idee hebben wat security betekent en zolang klanten de topic security pas na go live, en heel timide, op de agenda gaan zetten dan zal er op iedere platform een lek te vinden zijn.
SAP geeft duidelijke richtlijnen al vanaf de eerste releases van Solution Manager (en overige SAP producten) rondom security. Als men dit topic niet serieus neemt dan moet men nu niet raar gaan kijken. Wat mij betreft oude nieuws en ik begrijp, gelet de huidige angst conjunctuur, dat er bedrijven zijn die zich hierop willen gaan profileren. Wel vind ik het niet sterk om security enkel te associeren met het aanbieden van een pakket dat default wachtwoorden e.d. checkt, of te bewijzen dat systemen kunnen overgenoemen worden.
Het checken van default wachtwoorden is overigens standaard in SAP sinds heel heel (ja 2x) lang.
@mhadjih
– Het gaat hier om een nieuwe set users (oa. Solman Diagnostic users) met default wachtwoorden.
– Via de Solution Manager kunnen alle aangesloten satellietsystemen worden geïnfecteerd.
– Default wachtwoorden zijn de meest evidente ingang voor hackers.
– Het advies om de passwords voor deze users te veranderen is door SAP pas op 28.02.2014 gegeven middels versie 1 van OSS Note 1985387. Omdat het password nu bekend is, heeft SAP nu OSS Note 2293011 uitgebracht.
@WS
Een default wachtwoord instellen in een applicatie noem ik geen lek maar meer een prutse installatie. Helaas gebeurt dit te vaak. In de installatie manuals van SAP maar ook van ieder pakket staat duidelijk aangegeven dat er van default passwords misbruik gemaakt kan worden. Dat deze aangepast en bijgehouden dienen te worden is meer een installatie – en beheer taak. Alle service users die SAP installeert zijn bekend, je hoeft echt geen hack specialist te zijn om hier misbruik van te kunnen maken indien deze niet goed beveiligd zijn.
Het ontbreekt aan kennis, discipline, visie en compliantie.