Σχεδόν κάθε SAP install έχει κενά ασφαλείας

Η ιδρύθηκε το 1972 και αποτελεί κορυφαίο πάροχο λύσεων και εφαρμογών επιχειρησιακού λογισμικού. Σύμφωνα με τη συνολική κεφαλαιοποίηση στη χρηματιστηριακή αγορά, η SAP είναι ο τρίτος μεγαλύτερος κατασκευαστής software στον κόσμο με πάνω από 230.000 πελάτες, σε περισσότερες από 180 .

Κάπου εδώ όμως έρχονται τα κακά νέα.safe lock security SAP

Ένα εντυπωσιακό 95% των εφαρμογών επιχειρησιακού λογισμικού της SAP περιέχουν τρωτά σημεία υψηλής σοβαρότητας που θα μπορούσαν να επιτρέψουν παραβιάσει, αναφέρουν οι ερευνητές.

Ερευνητές από την εταιρεία Onapsis αναφέρουν οι επιτιθέμενοι μπορούν να στοχεύσουν όλα τα SΑP installs, να εκτελέσουν εντολές με δικαιώματα , και να δημιουργήσουν J2EE backdoors.

Ο διευθύνων σύμβουλος της Onapsis κ. Mariano Nunez αναφέρει ότι οι 250.000 πελάτες της SΑP είναι εκτεθειμένοι κατά μέσο όρο 18 μήνες από τη στιγμή ανακαλύπτονται τα τρωτά σημεία, αφού η SΑP, χρειάζεται περίπου 12 μήνες για να αναπτύξει ένα patch που τα “διορθώνει.”

“Η αλήθεια είναι ότι τα περισσότερα patches που εφαρμόζονται είναι άσχετα με την , έρχονται αργά ή εισάγουν κώδικα που εγγυμονεί περαιτέρω κίνδυνους.”

  HTTPS Everywhere 3.1 Released

Η επιχείρηση της Βοστώνης ανακάλυψε ότι η SΑP κυκλοφόρησε 391 patches τα τελευταία χρόνια από τα οποία τα μισά είχαν επισημανθεί υψηλής προτεραιότητας.

Ο Nunez για όλη αυτή την κατάσταση, κατακρίνει εν μέρει το χαρακτηριστικό SAP HANA που όπως λέει είναι υπεύθυνο για μια αύξηση της τάξης του 450% στον αριθμό των patches ασφαλείας.

“Αυτή η τάση όχι μόνο δεν συνεχίζεται, αλλά επιδεινώνεται με το SAP HANA … που είναι τοποθετημένο στο κέντρο του οικοσυστήματος της SAP όπου αποθηκεύονται τα δεδομένα από τις πλατφόρμες της SΑP.”

Τα χειρότερα από τα τρωτά σημεία που ανακαλύφθηκαν έχουν ένα επίπεδο σοβαρότητας 9,5 σε σημαντικές όπως τις SΑP SQL Anywhere και τη Sybase ESP.

“Δεν μιλάμε μόνο για τον αριθμό των τρωτών σημείων, ο οποίος είναι αρκετά μεγάλος, αλλά και για την κρισιμότητα,” αναφέρει ο ιδρυτής της ERPScan, Alexander Polyakov.

Ο Polyakov αναφέρει:

“Αν οι έμπειροι προγραμματιστές της SΑP μπορούν ακόμα να αφήνουν τέτοια λάθη στον κώδικά τους, φανταστείτε τι συμβαίνει με τα προσαρμοσμένα προγράμματα της SΑP, και ειδικά αυτά που ανατίθενται σε άλλες . Ο έντονος ανταγωνισμός μεταξύ των outsourcing εταιρειών οδηγεί στην ελαχιστοποίηση του χρόνου ανάπτυξης και τους πόρους, κάτι το οποίο έχει συνήθως επιπτώσεις στην ασφάλεια.”

  Διαρροή δεδομένων από την WPengine

Ο Polyakov έχει δημοσιεύσει whitepapers που περιγράφουν λεπτομερώς τα τρωτά σημεία της SAP, κατευθυντήριες γραμμές για δοκιμές διείσδυσης, και άμυνες.

Δείτε τα whitepapers

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news

Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


2  +  2  =