Managed hosting door True

'Helft SAP-servers kan worden gehacked'

BlackHat 2011

 

Hacker

De helft van de online SAP-servers kan worden gehackt. Dit zegt Alexander Polyakov, cto van ERPScan tijdens de BlackHat 2011 securityconferentie in Las Vegas. De schuldige hiervan is een probleem in het J2EE engine in SAP’s NetWeaver software, waardoor autorisatiecontroles kunnen worden omzeild.

Polyakov stelt dat hij erin slaagde om gebruikers te creëren als lid van de admingroep door middel van twee niet geautoriseerde requests naar het systeem. En dat zou ook op systemen kunnen die beschermd zijn met twee-factor authenticatiesystemen. In een test zocht ERPScan online SAP-systemen op, en naar verluidt kon vijftig procent van de gevonden systemen op die wijze worden gehackt.

Polyakov stelt dat het niet alleen een nieuwe kwetsbaarheid betreft, maar een hele reeks van kwetsbaarheden die voordien wel in theorie, maar in de praktijk niet echt voorkwamen. 'Tijdens ons onderzoek vonden we alleen verscheidene voorbeelden in standaard systeemconfiguratie, maar omdat bedrijven hun systemen aanpassen aan hun bedrijfsprocessen, zullen nieuwe varianten van deze klasse in de toekomst mogelijk worden ontdekt bij bedrijven.'

In samenwerking met Datanews

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/4073654). © Jaarbeurs IT Media.

?


Lees meer over



Lees ook


 

Reacties

Dit is helemaal waar...vele vd. SAP applicatie landschap zijn te complex aan het worden. Meestal heb je 4 `a 7 servers voor nodig waar vroeger maar 1 of 2 zijn. Vele vd. zogenaamde SAP Basis Engineers heeft ook helemaal geen kaas van gegeten...de weet niet eens hoe unix-beheer in elkaar zit....Het wordt alleen maar gekker en security of server niveau zijn meestal vergeten zaken geworden. En meestal de unix beheerders waar ik van vind moet meer belangrijker role dan SAP Basis Engineers zijn meestal genegeerd of ondergeschikt role gekregen binnen de beheer structure.....dom...dom.

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×