SAP HANA zo lek als een mandje

Het merendeel van de kritieke kwetsbaarheden heeft betrekking op de kerninterfaces van TrexNet die nodig zijn voor communicatie tussen servers ter ondersteuning van de high avaibility-scenario’s van grote ondernemingen. De analyses van de SAP-experts van Onapsis Research Labs resulteerden in de volgende observaties:

• Bij elke installatie van SAP HANA tot en met service pack 7 is de TrexNet-interface standaard opengesteld voor het externe netwerk. In versies na SPS7 is dit niet het geval, maar maakt de interface evenmin gebruik van encryptie of authenticatie.
• Organisaties zouden hun SAP HANA-omgevingen zodanig moeten configureren dat deze interfaces met elkaar communiceren via een netwerk dat is afgescheiden van het externe netwerk en gebruikmaken van encryptie en authenticatie voor het dataverkeer tussen de SAP HANA-systemen. Doen ze dat niet, dan lopen ze kans om slachtoffer te worden van misbruik van deze kwetsbaarheid.

Honderden Global 2000-organisaties

HANA groeit in rap tempo uit tot de onderliggende technologische infrastructuur voor alle SAP-applicaties, terwijl het SAP HANA Cloud Platform bedrijven de mogelijkheid biedt om hun bestaande cloud-applicaties uit te breiden en ondersteuning te bieden voor een omvangrijk ecosysteem van apps van externe leveranciers. Deze twee factoren dragen bij aan een aanzienlijke groei van het aanvalsoppervlak. Experts in SAP-beveiliging van Onapsis Research Labs kregen toegang tot de systemen van honderden Global 2000-organisaties en drukten de impact van deze en andere prominente kwetsbaarheden in cijfers uit. Dit gebeurde op basis van een “Business Risk Illustration” (BRI)-kader dat de beschikbaarheid, integriteit en vertrouwelijkheid van data analyseert.

22 miljoen dollar schade per minuut

Volgens Onapsis Research Labs vertegenwoordigen de kwetsbaarheden een potentiële schadepost voor tienduizenden SAP-klanten, waaronder Forbes Global 2000-ondernemingen in alle sectoren, zoals de olie- en aardgasindustrie, overheid, farmaceutische industrie en andere belangrijke sectoren. Experts schatten dat een inbraak op SAP-systemen sommige organisaties potentieel 22 miljoen dollar per minuut kan kosten door de onderbreking van productie en distributie of door het verlies van communicatiestromen of data. De kwetsbaarheden in SAP HANA zouden zelfs een wissel kunnen trekken op de wereldeconomie, doordat hackers ze kunnen gebruiken als ingangspunt voor overheidsspionage, bedrijfsspionage, financiële fraude en sabotage van belangrijke bedrijfssystemen.