De e-mail-functionaliteit in SAP-systemen bevat verschillende kwetsbaarheden. Kwaadwillenden kunnen daardoor op afstand complete SAP-systemen overnemen. Dat blijkt uit onderzoek van SAP-beveiligingsspecialist ERP-SEC uit Wageningen.
Security-onderzoeker Joris van de Vis van ERP-SEC demonstreerde de kwetsbaarheid op de Troopers Security Conference, Dat is een jaarlijkse security-conferentie met een specifiek op SAP-beveiliging gericht programma. Van de Vis demonstreerde tijdens het congres dat het mogelijk is om via de inkomende e-mail-functionaliteit SAP-systemen volledig over te nemen.
Volgens de beveiligingsexpert zijn door het ‘lek’ in de e-mail-functionaliteit klanten wereldwijd kwetsbaar voor risico’s, zoals diefstal van bedrijfsdata, het verstoren van hun bedrijfsvoering en fraude.
Volgens ERP-SEC zijn de kwetsbaarheden in goede samenwerking met het securityresponseteam van SAP opgelost. Er zijn er patches vrijgegeven om de systemen beter te beveiligen, terwijl SAP documentatie beschikbaar heeft gesteld om de de kwetsbaarheden aan te pakken.
Misbruik zonder authenticatie
Volgens Van de Vis kan de impact van de kwetsbaarheden groot zijn voor SAP- klanten die de functionaliteit gebruiken. ‘Het kan misbruikt worden via internet en zonder enige vorm van authenticatie. In sommige gevallen konden we zelfs SAP systemen overnemen door er enkel een email heen te sturen met een bepaalde bijlage daarbij.’
Het is onduidelijk hoeveel klanten er precies geraakt worden door de kwetsbaarheden. Uit een korte steekproef onder de klanten van ERP-SEC blijkt dat de helft van hen de inkomende email-functionaliteit gebruikt.