Mogelijk miljoen SAP-systemen kwetsbaar voor 10KBlaze-exploit

Zo’n 50.000 bedrijven die SAP-oplossingen hebben geïmplementeerd, zijn mogelijk gevoelig voor cyberaanvallen. Een onlangs vrijgegeven exploit genaamd 10KBlaze richt zich op configuratiestoringen in de SAP-software, aldus bevindingen van een cybersecurity-team van Onapsis Research Labs.

Een exploit is eigenlijk niet meer dan een stukje software dat gebruikmaakt van een bug, glitch of kwetsbaarheid in de software van een apparaat. In dit geval betreft het kwetsbaarheden in de software van SAP. Dat stelt aanvallers in staat om ongewenst gedrag te veroorzaken op de software of hardware van het slachtoffer.

10KBlaze

De exploit richt zich volgens het cybersecurity-team op twee onlangs vrijgegeven technische componenten van SAP-software, wat kan leiden tot volledig gesaboteerde SAP-applicaties. Bovendien kunnen de 10KBlaze-tools ook gebruikt worden om nieuwe gebruikers met willekeurige rechten te maken en belangrijke functies uit te voeren. Denk dan bijvoorbeeld aan het aanmaken van nieuwe leveranciers of inkooporders, acties die kunnen leiden tot financiële fraude, het verkrijgen van toegang tot SAP-databases of het verstoren van zakelijke operaties.

Volgens Onapsis Research Labs zijn ruim een miljoen systemen met SAP NetWeaver en S/4HANA verkeerd geconfigureerd. De systemen staan bij ongeveer 50.000 verschillende bedrijven. Om een aanval uit te voeren, hebben aanvallers zonder enige vorm van authenticatie alleen wat technische kennis en netwerkconnectiviteit met het kwetsbare systeem nodig.

Kwetsbare toepassingen

Alle SAP NetWeaver Application Server (AS) en S/4HANA-systemen lopen mogelijk risico, gezien ze een toegangscontrolelijst gebruiken in Gateway en een Message Server. Onapsis schat dat 90 procent van deze SAP-systemen mogelijk kwetsbaar zijn.

Mogelijk beïnvloede SAP-toepassingen:

  • SAP S/4HANA
  • SAP Enterprise Resource Planning (ERP)
  • SAP Product Lifecycle Management (PLM)
  • AP Customer Relationship Management (CRM)
  • SAP Human Capital Management (HCM)
  • SAP Supply Chain Management (SCM)
  • SAP Supplier Relationship Management (SRM)
  • SAP NetWeaver Business Warehouse (BW)
  • SAP Business Intelligence (BI)
  • SAP Process Integration (PI)
  • SAP Solution Manager (SolMan)
  • SAP Governance, Risk & Compliance 10.x (GRC)
  • SAP NetWeaver ABAP Application Server 7.0 – 7.52

“Als deze configuraties niet zijn beveiligd zoals aanbevolen door SAP – wat gemakkelijker gedaan kan worden tijdens implementatie en GoLive-proces – kunnen de onlangs gepubliceerde exploits gebruikt worden tegen getroffen bedrijven”, aldus Onapsis.

Beveiligingsfixes

Volgens ZDnet heeft SAP eerder in 2005, 2009 en 2010 richtlijnen uitgebracht die beschrijven hoe de configuratie van de applicatie correct kan worden ingesteld om misbruik te voorkomen. Het wordt aanbevolen dat IT-teams hun builds onmiddellijk controleren om ervoor te zorgen dat ze worden beschermd. SAP adviseert naar eigen zeggen dan ook altijd om beveiligingsfixes te installeren, zodra ze worden vrijgegeven.

Lees ook: SAP pakt arbeidstekort op Belgische IT-markt aan met ‘1.000 SAP-jobs’