Remote toegang zeer riskant bij SAP-omgevingen
Dat constateert beveiliger Onapsis, die gespecialiseerd is in ERP-systemen. Zijn dienst Onapsis Business Risk Illustration (BRI) heeft bij ruim 100 bedrijven de aanwezig SAP-implementaties op locatie geanalyseerd. Daarbij werden 480 kwetsbaarheden gevonden, waarvan 142 aangeduid kunnen worden als 'kritiek'.
© pixabay
pixabay
De lekken werden vooral gevonden bij olie- en gasbedrijven (127 lekken), luchtvaartmaatschappijen (145) en farmaceutische bedrijven (138). Een deel van de zwakke plekken biedt een aanvaller de mogelijkheid om op afstand de volledige controle over te nemen voor SAP-applicaties.
Een belangrijke oorzaak voor de gammele beveiliging is het zeer slechte updatebeleid van gebruikers. Onapsis vond een gebrekkige beveiliger van de invoker servlet bij 36 bedrijven aan, wereldwijd verspreid. Met dit lek kunnen aanvaller toegang op afstand krijgen tot de aanmeldfunctie van SAP-Java-systemen. Dit is echter een lek dat al jaren bekend is en waar SAP zeker 6 jaar geleden al een patch voor heeft uitgebracht.
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee