Helft SAP-servers ‘can be hacked’
ERPScan’s CTO Alexander Polyakov lichtte op de Black Hat securityconferentie in Las Vegas toe hoe SAP-servers op het internet kunnen worden gehackt. De schuldige hiervoor is een probleem in het J2EE engine in SAP’s NetWeaver software, waardoor autorisatiecontroles kunnen worden omzeild.
De helft van de online SAP-servers kunnen worden gehackt, stelt ERPScan specialist Polyakov op BlackHat 2011. ERPScan’s CTO Alexander Polyakov lichtte op de Black Hat securityconferentie in Las Vegas toe hoe SAP-servers op het internet kunnen worden gehackt. De schuldige hiervoor is een probleem in het J2EE engine in SAP’s NetWeaver software, waardoor autorisatiecontroles kunnen worden omzeild.
Plyakov stelt dat hij erin slaagde om gebruikers te creëren als lid van de admingroep door middel van twee niet geautoriseerde requests naar het systeem. En dat zou ook op systemen kunnen die beschermd zijn met twee-factor authenticatiesystemen. In een test zocht ERPScan online SAP-systemen op, en naar verluidt kon 50 procent van de gevonden systemen op die wijze worden gehackt.
Polyakov stelt dat “het niet alleen een nieuwe kwetsbaarheid betreft, maar een hele klasse van kwetsbaarheden die voordien wel als theoretisch mogelijk werden beschreven, maar in de praktijk niet echt voorkwamen.”
“Tijdens onze research vonden we alleen verscheidene voorbeelden in standaard systeemconfiguratie, maar omdat bedrijven hun systemen aanpassen aan hun bedrijfsprocessen, zullen nieuwe varianten van deze klasse in de toekomst mogelijks worden ontdekt bij bedrijven.”
Op de site van ERPScan staat overigens vermeld dat Polyakov op 19 september ook de Belgische securityspecialistenconferentie Brucon in Brussel zal aandoen.
Fout opgemerkt of meer nieuws? Meld het hier