US-CERT waarschuwt voor beveiligingslek in SAP-systemen van 6 jaar oud

Abonneer je gratis op Techzine!

Het United States Computer Emergency Response Team oftewel US-CERT, waarschuwt voor een zes jaar oud beveiligingslek in SAP-software. Volgens de organisatie zijn er inmiddels 36 bedrijven gehackt door misbruik te maken van dit lek en de oorzaak is een laks patch beleid. Bedrijven worden opgeroepen hun SAP-omgevingen te updaten.

Het beveiligingslek is gevonden door beveiligingsonderzoekers van Onapsis en bevindt zich in de SAP NetWeaver Application Server dat gebruik maakt van Java. Het is mogelijk om zonder authenticatie applicaties uit voeren via de Invoker Servlet. Dit was origineel een feature voor ontwikkelaars en helemaal niet bedoeld voor productieomgevingen, toch is de feature uitgerold bij veel bedrijven. SAP bracht in 2010 al een patch uit om de mogelijkheid om applicaties zonder authenticatie uit te voeren te blokkeren. Er blijken echter flink wat bedrijven te zijn die al meer dan zes jaar hun SAP-omgeving niet bijgewerkt hebben.

US-CERT roept bedrijven nu op om toch die SAP-omgevingen eens onder handen te nemen en bij te werken naar een nieuwe versie want inmiddels zijn er al 36 bedrijven ten prooi gevallen aan kwaadwillenden.

Het is voor het eerst dat de US-CERT een advies uitbrengt voor SAP-gebruikers.