SAP-klanten laten zich hacken via 6 jaar geleden gedicht lek
De hackers weten gebruik te maken van de Invoker Servlet, een functie die SAP ooit inbouwde in zijn NetWeaver Application Server Java systems. Deze functie maakt het mogelijk bepaalde Java-applicaties te draaien zonder wachtwoord of authenticatie. Dat was bedoeld voor ontwikkelomgevingen, om sneller te kunnen ontwikkelen en testen. Dat bleek een kwetsbare opzet. Hackers kunnen langs die weg doordringen tot alle hoeken en gaten van het systeem.
SAP schakelde deze functie daarom al in 2010 standaard uit.
Kennelijk zijn er toch organisaties die er in de afgelopen 6 jaar geen nieuwe SAP-versie hebben geïnstalleerd, of zelfs willens en wetens hebben doorgewerkt met deze kwetsbare opzet. Kennelijk zijn er ook bedrijven die de Invoker Servlet in productieomgevingen gebruiken. En kennelijk is het voor sommige bedrijven ook te veel werk om hun maatwerk zo aan te passen dat die veilig te gebruiken is. Eén van de nu geconstateerde problemen is namelijk, dat de standaard-instelling overschreven kan worden door SAP Java-toepassingen.
Zeker 36 bedrijven gehackt
De afgelopen 3 jaar zijn zeker 36 bedrijven gehackt te zijn dankzij de Invoker Servlet-functie, meldt Onapsis in een onderzoeksrapport. Hetzelfde rapport meldt ook dat 6 jaar op je handen zitten bij een bekende bug voor SAP-gebruikers niet uitzonderlijk is. Onapsis vindt zelfs nog kwetsbaarheden in SAP-implementaties die 10 jaar geleden al gepatcht zijn.
Welke bedrijven nu in gebreke blijven, is niet heel helder. Wel is duidelijk dat er nutsbedrijven, telecombedrijven en staalproducenten bij zitten. Het Amerikaanse Computer Emergency Response Team neemt deze waarschuwing van Onapsis heel serieus. US-Cert adviseert gebruikers om hun systemen op dit punt zonder dralen aan te passen. Het is de eerste keer dat het Amerikaanse CERT zo'n advies verstrekt aan SAP-gebruikers.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee