SAP: EEN blik op de uitdagingen, kansen
ZDNet ‘s Larry Dignan gevangen met Vinnie Mirchandani, auteur van SAP Natie 3.0, om te praten over de enterprise-software landschap en de evolutie van één van enterprise software’ s grootste leveranciers.
Tot 50.000 ondernemingen die SAP-oplossingen kunnen gevoelig zijn voor cyberaanvallen door nieuwe exploits targeting configuratie fouten in de software, onderzoekers zeggen dat.
Volgens de cybersecurity team van de Onapsis Research Labs, exploits noemde 10KBlaze die gericht zijn twee technische componenten van SAP software is onlangs vrijgegeven en kan leiden tot de “full compromis” van de SAP-toepassingen.
In een rapport waarin de heldendaden, Onapsis zei dergelijke compromissen zijn de verwijdering van bedrijfskritische applicatie gegevens, alsmede van de diefstal of de wijziging van gevoelige informatie.
Zie ook: SAP Q1 2019: Eerste kwartaal de operationele winst sloeg door de herstructurering getroffen
De “10KBlaze” tools kunnen ook gebruikt worden om nieuwe gebruikers te creëren met willekeurige bevoegdheden, functies uitvoeren zoals het aanmaken van nieuwe leveranciers of orders — met andere woorden, om financiële fraude te plegen — en om toegang te krijgen tot SAP-databases of verstoren van de bedrijfsvoering.
Zonder enige vorm van verificatie, externe aanvallers hoeft alleen maar enige technische kennis en netwerk connectiviteit naar het kwetsbare systeem voor het uitvoeren van een aanval.
Alle SAP NetWeaver Application Server (AS) en S/4HANA systemen, als ze gebruik maken van een Access Control List in Gateway en een Bericht op de Server, in gevaar kunnen worden. De onderzoekers zeggen dat de toepassingen worden beïnvloed, onder andere:
SAP-S/4HANASAP Enterprise Resource Planning (ERP)SAP Product Lifecycle Management (PLM)AP Customer Relationship Management (CRM)SAP Human Capital Management (HCM)SAP Supply Chain Management (SCM)SAP Supplier Relationship Management (SRM)van SAP NetWeaver Business Warehouse (BW)SAP Business Intelligence (BI)SAP Process Integration (PI)SAP Solution Manager (SolMan)SAP Governance, Risk & Compliance 10.x (GRC) is SAP NetWeaver ABAP Application Server 7.0 – 7.52
De exploits zijn niet afhankelijk van de core kwetsbaarheden in SAP code. Integendeel, fouten in SAP NetWeaver installatie administratieve configuratie en de instellingen kan worden gebruikt voor het compromis toepassingen.
CNET: SAP zegt business kan het oplossen van de problemen in de wereld (echt)
Volgens Onapsis, tot 50.000 bedrijven en collectief miljoen systemen met behulp van SAP NetWeaver en S/4HANA zijn onjuist geconfigureerd. Het team schat dat 90 procent van de SAP-systemen in gebruik door de onderneming kwetsbaar.
“Als deze configuraties zijn niet beveiligd zijn, zoals aanbevolen door SAP (makkelijker om te doen tijdens de implementatie en GoLive proces), [de] recent gepubliceerde exploits kunnen worden gebruikt tegen de getroffen bedrijven,” Onapsis zegt.
TechRepublic: Deloitte samenwerking kan het gemakkelijker maken om te migreren SAP apps voor Google Cloud
SAP heeft eerder uitgebracht richtlijnen in 2005, 2009 en 2010 aan klanten die beschrijven hoe goed de setup-configuratie van de toepassing om te voorkomen dat te exploiteren. Het is aanbevolen dat de teams hun bouwt onmiddellijk om ervoor te zorgen dat ze beschermd zijn.
“SAP altijd adviseert om beveiligings correcties als ze zijn vrijgegeven,” SAP zei.
Vorige en aanverwante dekking
SAP heeft 50 procent meer klanten dan 5 jaar geleden: Een blik op de weg
SAP marketing: De cultuur reis van on-premise tot cloud
SAP voegt meer intelligente mogelijkheden voor Cloud Analytics
Een tip? Get in touch veilig via WhatsApp | Signaal op +447713 025 499, of over Keybase: charlie0
Verwante Onderwerpen:
SAP
Beveiliging TV
Data Management
CXO
Datacenters