Onapsis-beveiligingsonderzoekers hebben een oude kwetsbaarheid ontdekt in SAP-bedrijfsapplicaties die teruggaat tot 2013, wat wijst op een ernstig risico waarmee tientallen bedrijven over de hele wereld worden geconfronteerd.
In een nevenaankondiging heeft het Amerikaanse Department of Homeland Security bedrijven in de VS, het VK, India, Japan, Duitsland, China en Zuid-Korea gewaarschuwd voor de risicovolle SAP-fout die bedrijven treft. veel organisaties en bedrijven.
De kwetsbaarheid zou volgens Onapsis de bedrijfsinformatie en kritieke processen van de getroffen bedrijven kunnen blootstellen aan aanvallers, waardoor ze de volledige controle over die activa kunnen krijgen, zelfs zonder authenticatie om toegang te krijgen tot de enorme hoeveelheid gegevens. Sommige niet-SAP-systemen worden ook getroffen.
Onapsis wees op een bug in de J2EE-specificatie genaamd Invoker Servlet, die ontwikkelaars gebruiken om een test uit te voeren op Java-applicaties. Ontwikkelaars kunnen de servlets zelfs zonder toestemming over het internet halen, wat betekent dat iedereen de servlets op elk moment kan aanroepen. Met volledige toegang tot deze functionaliteit kunnen aanvallers kritieke systemen in verschillende industrieën manipuleren en exploiteren, zolang ze de URL van de servlet kennen. Daarom heeft het Homeland Security gealarmeerd, vooral omdat aanvallers ook accounts kunnen aanmaken en besturingssystemen kunnen overnemen.
Hoewel SAP gebruikers al toestond de Invoker Servlet standaard in hun applicaties uit te schakelen, konden aanvallers nog steeds toegang krijgen tot de Invoker Servlet en willekeurige opdrachten uitvoeren op SAP-systemen nadat ze vervalste pakketten naar onveilige SAP-systemen via HTTP of HTTPS hadden verzonden om authenticatiecontroles te omzeilen.
Hoe ernstig kan het worden? Om te beginnen kan een aanvaller bevoegdheden escaleren om willekeurige opdrachten op besturingssystemen uit te voeren en elke webbrowser gebruiken om beheerdersaccounts op SAP-systemen te maken, zelfs zonder een authentiek SAP-gebruikers-ID en wachtwoord. SAP lijkt de fout echter te bagatelliseren, zoals de recente patch-nota anders aangeeft.
Beveiligingsexperts waarschuwen nu dat aangepaste Java-applicaties moeten worden beoordeeld en dat elk onregelmatig gedrag in die applicaties moet worden gecontroleerd, zelfs als gebruikers Invoker Servlet nu kunnen uitschakelen. Volgens experts kunnen namelijk aangepaste SAP Java-applicaties worden gebruikt om de configuratie te overschrijven.
Ook raden beveiligingsexperts aan dat SAP-systeembeheerders vanaf nu letten op kritieke systeempatches, aangezien SAP regelmatig maandelijks patches uitbrengt. Ze betreuren het dat het incident duidelijk maakte hoe SAP-beveiligingsteams beperkt zicht hebben op kwetsbaarheden die in SAP-systemen blijven bestaan.
