Americký CERT varuje před dávno známou chybou v systémech SAP

Pavel Houser , 16. květen 2016 16:30 0 komentářů

Computer Emergency Response Team USA oficiálně oznámil, že 36 velkých, převážně mezinárodně působících firem provozuje zranitelné systémy SAP.

Příslušné opravy byly vydány už v roce 2010 a týkají se komponenty Invoker Servlet, součásti javové platformy SAPu, respektive prostředí SAP NetWeaver (servlet je obecně program v Javě spouštěný na straně serveru). Chyba může ovlivňovat celou řadu produktů SAP.

Mnohé podniky raději vůbec nechtějí zasahovat do svých kritických produkčních prostředí a nenasazují aktualizace z obav před narušením funkčnosti systémů, tím se však na druhé straně vystavují bezpečnostním rizikům. Přitom v tomto případě není ani nutné instalovat opravu, stačí Invoker Servlet vypnout. I to může ovlivnit funkčnost a vyžadovat dodatečnou konfiguraci dalších služeb; náprava není tedy triviální, což liknavost správců ale samozřejmě omlouvá jen do určité míry, přece jen na to měli 6 let. Bez opravy jde o kritický problém, protože útočník může získat plný vzdálený přístup k aplikaci bez nutnosti jakékoliv autorizace, získat kontrolu nad prostředím (včetně přístupu do dalších systémů) a např. si stáhnout veškerá data.

Celou kauzu spustila společnost Onapsis, když upozornila, že o příslušné zranitelnosti se diskutuje již řadu let na čínských bezpečnostních fórech. Právě zde se také měl objevit výčet 36 zranitelných globálních společností. Alexander Poljakov, CTO firmy ERPScan, která se zaměřuje právě na zabezpečení a penetrační testování ERP systémů, však dodává, že ohrožených subjektů/implementací SAP je minimálně o řád více. Podle Poljakova však naopak není pravda, že oněch 36 subjektů bylo opravdu kompromitováno, protože diskutující z čínských fór zřejmě patří do kategorie „white hat“.

To však neznamená, že příslušné informace nemohl začít zneužívat i někdo jiný. ERPScan potvrzuje, že když použili takto zranitelné systémy SAP jako honeypoty, útoky na sebe nenechaly dlouho čekat. US-CERT doporučuje uživatelů systémů SAP, aby je pravidelně testovali proti známým zranitelnostem, chybějícím záplatám či rizikovým konfiguracím.


Komentáře

RSS 

Komentujeme

Jak srovnávali jablka s hruškami

Pavel Houser , 27. květen 2017 14:30
Pavel Houser

Absurdní patent či ochranná známka, respektive absurdní výsledek sporu? A že je hloupost srovnávat j...

Více





RSS 

Zprávičky

Pracovní nabídky v SAP Services připravují roboti

Pavel Houser , 28. květen 2017 08:00

Ve společnosti SAP Services se podařilo zautomatizovat tvorbu pracovních nabídek napříč různými země...

Více 0 komentářů

Výdaje na reklamu na webech v dubnu stouply na 652 milionů Kč

ČTK , 27. květen 2017 09:04

Seznam získal 240 milionů, Mafra inkasovala 118 milionů a Economia 76 milionů korun....

Více 0 komentářů

Dell EMC podporuje transformaci IT s novými produkty pro open networking

Pavel Houser , 26. květen 2017 14:46

Přepínače Dell EMC pro Open Networking tvoří spolu se servery PowerEdge čtrnácté generace a špičkový...

Více 0 komentářů

Starší zprávičky

Hodnota bitcoinu stoupla na nový rekord přes 2400 dolarů

ČTK , 26. květen 2017 09:23

K růstu bitcoinu přispívá příliv nového kapitálu a růst poptávky po dalších digitálních měnách....

Více 0 komentářů

Tři zranitelnosti a opravy: Samba, Joomla, videopřehrávače

Pavel Houser , 25. květen 2017 16:30

Vektorem útoku může být i soubor s titulky....

Více 0 komentářů

Lenovo opět v zisku

ČTK , 25. květen 2017 15:32

Lenovo se snaží omezit svou závislost na trhu s PC a rozšiřuje aktivity v oblasti chytrých telefonů ...

Více 0 komentářů

Zákon o elektronické identifikaci Sněmovna asi schválí beze změn

ČTK , 25. květen 2017 09:00

Jedním z cílů nových občanských průkazů je poskytnout držitelům elektronický podpis....

Více 0 komentářů