Mange SAP-systemer er sårbare

Artiklen blev oprindeligt publiceret den 31/5/2012

Næsten alle de SAP-systemer som et it-sikkerhedsfirma har testet, har sårbarheder. Det skyldes, at administratorerne ikke installerer sikkerhedsrettelser.

Juan Perez-Etchegoyen fra sikkerhedsfirmaet Onapsis oplyser, at over 95 procent af de systemer, hans firma har sikkerhedstestet, havde en eller flere sårbarheder. Sikkerhedshullerne gør SAP-systemerne sårbare over for spionage, sabotage og svindel.

Software fra den tyske koncern SAP bruges til at holde styr på virksomheders økonomi. Derfor indeholder de kritiske og fortrolige data. Angriberne kan udnytte sårbarhederne uden at kende et brugernavn og password til SAP-systemet.

Flere af de angreb, som Juan Perez-Etchegoyen giver eksempler på, anvender SAP Solution Manager som indgang. Det er et stykke software, der indgår i alle SAP-installationer. Det indeholder ikke forretningsdata, men har teknisk information om den samlede SAP-installation. Hvis en angriber får adgang til Solution Manager, kan han få adgang til alle de tilknyttede systemer.

Anbefaling
Hold SAP opdateret og følg rådene i Juan Perez-Etchegoyens præsentation.

Links

• Inception of the SAP Platform's Brain, Juan Perez-Etchegoyens præsentation fra konferencen Hack In The Box (PDF-format)