Americký CERT varuje před dávno známou chybou v systémech SAP

Pavel Houser , 16. květen 2016 16:30 0 komentářů

Computer Emergency Response Team USA oficiálně oznámil, že 36 velkých, převážně mezinárodně působících firem provozuje zranitelné systémy SAP.

Příslušné opravy byly vydány už v roce 2010 a týkají se komponenty Invoker Servlet, součásti javové platformy SAPu, respektive prostředí SAP NetWeaver (servlet je obecně program v Javě spouštěný na straně serveru). Chyba může ovlivňovat celou řadu produktů SAP.

Mnohé podniky raději vůbec nechtějí zasahovat do svých kritických produkčních prostředí a nenasazují aktualizace z obav před narušením funkčnosti systémů, tím se však na druhé straně vystavují bezpečnostním rizikům. Přitom v tomto případě není ani nutné instalovat opravu, stačí Invoker Servlet vypnout. I to může ovlivnit funkčnost a vyžadovat dodatečnou konfiguraci dalších služeb; náprava není tedy triviální, což liknavost správců ale samozřejmě omlouvá jen do určité míry, přece jen na to měli 6 let. Bez opravy jde o kritický problém, protože útočník může získat plný vzdálený přístup k aplikaci bez nutnosti jakékoliv autorizace, získat kontrolu nad prostředím (včetně přístupu do dalších systémů) a např. si stáhnout veškerá data.

Celou kauzu spustila společnost Onapsis, když upozornila, že o příslušné zranitelnosti se diskutuje již řadu let na čínských bezpečnostních fórech. Právě zde se také měl objevit výčet 36 zranitelných globálních společností. Alexander Poljakov, CTO firmy ERPScan, která se zaměřuje právě na zabezpečení a penetrační testování ERP systémů, však dodává, že ohrožených subjektů/implementací SAP je minimálně o řád více. Podle Poljakova však naopak není pravda, že oněch 36 subjektů bylo opravdu kompromitováno, protože diskutující z čínských fór zřejmě patří do kategorie „white hat“.

To však neznamená, že příslušné informace nemohl začít zneužívat i někdo jiný. ERPScan potvrzuje, že když použili takto zranitelné systémy SAP jako honeypoty, útoky na sebe nenechaly dlouho čekat. US-CERT doporučuje uživatelů systémů SAP, aby je pravidelně testovali proti známým zranitelnostem, chybějícím záplatám či rizikovým konfiguracím.


Komentáře

RSS 

Komentujeme

Další na řadě je bezpečnost

Richard Jan Voigts , 09. říjen 2017 00:00
Richard Jan Voigts

Co všechno lze automatizovat pomocí strojového učení? Larry Ellison, technologický ředitel společnos...

Více







RSS 

Zprávičky

Seznam loni zvýšil čistý zisk o 9 % na 1,1 miliardy Kč

ČTK , 18. říjen 2017 10:00

Největší podíl na tržbách měly příjmy z reklamy ve vyhledávání, tedy z reklamního systému Sklik. ...

Více 0 komentářů

Dopravní podnik spustil v 6 stanicích metra wi-fi připojení k internetu

ČTK , 18. říjen 2017 08:00

Ve stanicích je rozmístěno 75 vysílačů a dodavatelská firma musela vybudovat veškerou infrastrukturu...

Více 0 komentářů

Digitální kancelář

Intexx, 18. říjen 2017 08:00

Ať už na intranetu, extranetu nebo na sociální platformě – vytvořte si s Intrexxem snadno a na míru ...

Více

Starší zprávičky

Microsoft uvolnil Fall Creators Update Windows 10

Pavel Houser , 17. říjen 2017 19:02

Smíšená realita, komfort pro e-knihy, ochrana před ransonmwarem a efektivnější propojení PC se smart...

Více 0 komentářů

Vůz bez řidiče Link & Go jezdil v Plzni, ve středu se chystá do Prahy

ČTK , 17. říjen 2017 17:49

Vůz Link & Go je pro inženýry vzor, který už je odzkoušený a funguje jako prototyp....

Více 0 komentářů

Závažná chyba v protokolu WPA2 (aktualizace)

Pavel Houser , ČTK , 17. říjen 2017 16:25

Odborníci z univerzity v belgické Lovani odhalili závažnou chybu ohrožující bezpečnost internetového...

Více 0 komentářů

Nová zero day zranitelnost v Adobe Flash

Pavel Houser , 17. říjen 2017 14:04

Po úspěšném zneužití zranitelnosti dojde k nainstalování malwaru FinSpy....

Více 0 komentářů