De helft van de online SAP-servers kan worden gehackt. Dit zegt Alexander Polyakov, cto van ERPScan tijdens de BlackHat 2011 securityconferentie in Las Vegas. De schuldige hiervan is een probleem in het J2EE engine in SAP’s NetWeaver software, waardoor autorisatiecontroles kunnen worden omzeild.
Polyakov stelt dat hij erin slaagde om gebruikers te creëren als lid van de admingroep door middel van twee niet geautoriseerde requests naar het systeem. En dat zou ook op systemen kunnen die beschermd zijn met twee-factor authenticatiesystemen. In een test zocht ERPScan online SAP-systemen op, en naar verluidt kon vijftig procent van de gevonden systemen op die wijze worden gehackt.
Polyakov stelt dat het niet alleen een nieuwe kwetsbaarheid betreft, maar een hele reeks van kwetsbaarheden die voordien wel in theorie, maar in de praktijk niet echt voorkwamen. 'Tijdens ons onderzoek vonden we alleen verscheidene voorbeelden in standaard systeemconfiguratie, maar omdat bedrijven hun systemen aanpassen aan hun bedrijfsprocessen, zullen nieuwe varianten van deze klasse in de toekomst mogelijk worden ontdekt bij bedrijven.'
In samenwerking met Datanews
