Σχεδόν κάθε SAP install έχει κενά ασφαλείας

Η SAP ιδρύθηκε το 1972 και αποτελεί κορυφαίο πάροχο λύσεων και εφαρμογών επιχειρησιακού . Σύμφωνα με τη συνολική κεφαλαιοποίηση στη χρηματιστηριακή αγορά, η SAP είναι ο τρίτος μεγαλύτερος κατασκευαστής software στον κόσμο με πάνω από 230.000 πελάτες, σε περισσότερες από 180 χώρες.

Κάπου εδώ όμως έρχονται τα κακά νέα.safe lock security SAP

Ένα εντυπωσιακό 95% των εφαρμογών επιχειρησιακού λογισμικού της SAP περιέχουν σημεία υψηλής σοβαρότητας που θα μπορούσαν να επιτρέψουν παραβιάσει, αναφέρουν οι ερευνητές.

Ερευνητές από την εταιρεία ασφαλείας Onapsis αναφέρουν οι επιτιθέμενοι μπορούν να στοχεύσουν όλα τα SΑP , να εκτελέσουν εντολές με δικαιώματα admin, και να δημιουργήσουν J2EE backdoors.

Ο διευθύνων σύμβουλος της Onapsis κ. Mariano Nunez αναφέρει ότι οι 250.000 πελάτες της SΑP είναι εκτεθειμένοι κατά μέσο όρο 18 μήνες από τη στιγμή ανακαλύπτονται τα τρωτά σημεία, αφού η SΑP, χρειάζεται περίπου 12 μήνες για να αναπτύξει ένα patch που τα “διορθώνει.”

“Η αλήθεια είναι ότι τα περισσότερα patches που εφαρμόζονται είναι άσχετα με την ασφάλεια, έρχονται αργά ή εισάγουν κώδικα που εγγυμονεί περαιτέρω κίνδυνους.”

Η επιχείρηση της Βοστώνης ανακάλυψε ότι η SΑP κυκλοφόρησε 391 patches τα τελευταία χρόνια από τα οποία τα μισά είχαν επισημανθεί υψηλής ς.

Ο Nunez για όλη αυτή την κατάσταση, κατακρίνει εν μέρει το χαρακτηριστικό SAP HANA που όπως λέει είναι υπεύθυνο για μια αύξηση της τάξης του 450% στον αριθμό των patches ασφαλείας.

“Αυτή η τάση όχι μόνο δεν συνεχίζεται, αλλά επιδεινώνεται με το SAP HANA … που είναι τοποθετημένο στο κέντρο του οικοσυστήματος της SAP όπου αποθηκεύονται τα δεδομένα από τις πλατφόρμες της SΑP.”

Τα χειρότερα από τα τρωτά σημεία που ανακαλύφθηκαν έχουν ένα επίπεδο σοβαρότητας 9,5 σε σημαντικές όπως τις SΑP SQL Anywhere και τη Sybase ESP.

“Δεν μιλάμε μόνο για τον αριθμό των τρωτών σημείων, ο οποίος είναι αρκετά μεγάλος, αλλά και για την κρισιμότητα,” αναφέρει ο ιδρυτής της ERPScan, Alexander Polyakov.

Ο Polyakov αναφέρει:

“Αν οι έμπειροι προγραμματιστές της SΑP μπορούν ακόμα να αφήνουν τέτοια λάθη στον κώδικά τους, φανταστείτε τι συμβαίνει με τα προσαρμοσμένα προγράμματα της SΑP, και ειδικά αυτά που ανατίθενται σε άλλες εταιρείες. Ο έντονος ανταγωνισμός μεταξύ των outsourcing εταιρειών οδηγεί στην ελαχιστοποίηση του χρόνου ανάπτυξης και τους πόρους, κάτι το οποίο έχει συνήθως επιπτώσεις στην ασφάλεια.”

Ο Polyakov έχει δημοσιεύσει whitepapers που περιγράφουν λεπτομερώς τα τρωτά σημεία της SAP, κατευθυντήριες γραμμές για δοκιμές διείσδυσης, και άμυνες.

Δείτε τα whitepapers

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).