Η SAP ιδρύθηκε το 1972 και αποτελεί κορυφαίο πάροχο λύσεων και εφαρμογών επιχειρησιακού λογισμικού. Σύμφωνα με τη συνολική κεφαλαιοποίηση στη χρηματιστηριακή αγορά, η SAP είναι ο τρίτος μεγαλύτερος κατασκευαστής software στον κόσμο με πάνω από 230.000 πελάτες, σε περισσότερες από 180 χώρες.
Κάπου εδώ όμως έρχονται τα κακά νέα.
Ένα εντυπωσιακό 95% των εφαρμογών επιχειρησιακού λογισμικού της SAP περιέχουν τρωτά σημεία υψηλής σοβαρότητας που θα μπορούσαν να επιτρέψουν παραβιάσει, αναφέρουν οι ερευνητές.
Ερευνητές από την εταιρεία ασφαλείας Onapsis αναφέρουν οι επιτιθέμενοι μπορούν να στοχεύσουν όλα τα SΑP installs, να εκτελέσουν εντολές με δικαιώματα admin, και να δημιουργήσουν J2EE backdoors.
Ο διευθύνων σύμβουλος της Onapsis κ. Mariano Nunez αναφέρει ότι οι 250.000 πελάτες της SΑP είναι εκτεθειμένοι κατά μέσο όρο 18 μήνες από τη στιγμή ανακαλύπτονται τα τρωτά σημεία, αφού η SΑP, χρειάζεται περίπου 12 μήνες για να αναπτύξει ένα patch που τα “διορθώνει.”
“Η αλήθεια είναι ότι τα περισσότερα patches που εφαρμόζονται είναι άσχετα με την ασφάλεια, έρχονται αργά ή εισάγουν κώδικα που εγγυμονεί περαιτέρω κίνδυνους.”
Η επιχείρηση της Βοστώνης ανακάλυψε ότι η SΑP κυκλοφόρησε 391 patches τα τελευταία χρόνια από τα οποία τα μισά είχαν επισημανθεί υψηλής προτεραιότητας.
Ο Nunez για όλη αυτή την κατάσταση, κατακρίνει εν μέρει το χαρακτηριστικό SAP HANA που όπως λέει είναι υπεύθυνο για μια αύξηση της τάξης του 450% στον αριθμό των patches ασφαλείας.
“Αυτή η τάση όχι μόνο δεν συνεχίζεται, αλλά επιδεινώνεται με το SAP HANA … που είναι τοποθετημένο στο κέντρο του οικοσυστήματος της SAP όπου αποθηκεύονται τα δεδομένα από τις πλατφόρμες της SΑP.”
Τα χειρότερα από τα τρωτά σημεία που ανακαλύφθηκαν έχουν ένα επίπεδο σοβαρότητας 9,5 σε σημαντικές εφαρμογές όπως τις SΑP SQL Anywhere και τη Sybase ESP.
“Δεν μιλάμε μόνο για τον αριθμό των τρωτών σημείων, ο οποίος είναι αρκετά μεγάλος, αλλά και για την κρισιμότητα,” αναφέρει ο ιδρυτής της ERPScan, Alexander Polyakov.
Ο Polyakov αναφέρει:
“Αν οι έμπειροι προγραμματιστές της SΑP μπορούν ακόμα να αφήνουν τέτοια λάθη στον κώδικά τους, φανταστείτε τι συμβαίνει με τα προσαρμοσμένα προγράμματα της SΑP, και ειδικά αυτά που ανατίθενται σε άλλες εταιρείες. Ο έντονος ανταγωνισμός μεταξύ των outsourcing εταιρειών οδηγεί στην ελαχιστοποίηση του χρόνου ανάπτυξης και τους πόρους, κάτι το οποίο έχει συνήθως επιπτώσεις στην ασφάλεια.”
Ο Polyakov έχει δημοσιεύσει whitepapers που περιγράφουν λεπτομερώς τα τρωτά σημεία της SAP, κατευθυντήριες γραμμές για δοκιμές διείσδυσης, και άμυνες.
Δείτε τα whitepapers