Americký CERT varuje před dávno známou chybou v systémech SAP

Pavel Houser , 16. květen 2016 16:30 0 komentářů

Computer Emergency Response Team USA oficiálně oznámil, že 36 velkých, převážně mezinárodně působících firem provozuje zranitelné systémy SAP.

Příslušné opravy byly vydány už v roce 2010 a týkají se komponenty Invoker Servlet, součásti javové platformy SAPu, respektive prostředí SAP NetWeaver (servlet je obecně program v Javě spouštěný na straně serveru). Chyba může ovlivňovat celou řadu produktů SAP.

Mnohé podniky raději vůbec nechtějí zasahovat do svých kritických produkčních prostředí a nenasazují aktualizace z obav před narušením funkčnosti systémů, tím se však na druhé straně vystavují bezpečnostním rizikům. Přitom v tomto případě není ani nutné instalovat opravu, stačí Invoker Servlet vypnout. I to může ovlivnit funkčnost a vyžadovat dodatečnou konfiguraci dalších služeb; náprava není tedy triviální, což liknavost správců ale samozřejmě omlouvá jen do určité míry, přece jen na to měli 6 let. Bez opravy jde o kritický problém, protože útočník může získat plný vzdálený přístup k aplikaci bez nutnosti jakékoliv autorizace, získat kontrolu nad prostředím (včetně přístupu do dalších systémů) a např. si stáhnout veškerá data.

Celou kauzu spustila společnost Onapsis, když upozornila, že o příslušné zranitelnosti se diskutuje již řadu let na čínských bezpečnostních fórech. Právě zde se také měl objevit výčet 36 zranitelných globálních společností. Alexander Poljakov, CTO firmy ERPScan, která se zaměřuje právě na zabezpečení a penetrační testování ERP systémů, však dodává, že ohrožených subjektů/implementací SAP je minimálně o řád více. Podle Poljakova však naopak není pravda, že oněch 36 subjektů bylo opravdu kompromitováno, protože diskutující z čínských fór zřejmě patří do kategorie „white hat“.

To však neznamená, že příslušné informace nemohl začít zneužívat i někdo jiný. ERPScan potvrzuje, že když použili takto zranitelné systémy SAP jako honeypoty, útoky na sebe nenechaly dlouho čekat. US-CERT doporučuje uživatelů systémů SAP, aby je pravidelně testovali proti známým zranitelnostem, chybějícím záplatám či rizikovým konfiguracím.


Komentáře

RSS 

Komentujeme

V datových centrech už nejde o Windows?

Pavel Houser , 22. březen 2017 12:47
Pavel Houser

Trevor Pott si na The Register pokládá otázku o budoucnosti serverových Windows na platformě ARM. ...

Více






Kalendář

20. 03.

24. 03.
CeBIT 2017
21. 03.

24. 03.
Amper
23. 03. Cloud computing v praxi
RSS 

Zprávičky

V affiliate marketingu se u nás letos protočí 3 miliardy

ITBiz.cz , 23. březen 2017 10:00

Celkový objem trhu online affiliate marketingu e-shopů v ČR a SR činil v roce 2016 dle odhadů VIVnet...

Více 0 komentářů

Amazon koupí předního arabského e-prodejce Souq.com

ČTK , 23. březen 2017 08:45

Americký internetový prodejce Amazon se dohodl na koupi sta procent akcií dubajského on-line prodejc...

Více 0 komentářů

Nejméně aktualizované aplikace na PC: Java a Flash

Pavel Houser , 23. březen 2017 08:30

Dále z průzkumu: Windows XP jsou stále nainstalovány na 6 % zkoumaných počítačů. SSD má jen málo lid...

Více 0 komentářů

Starší zprávičky

Výdaje kybernetického úřadu budou letos 214 milionů Kč

ČTK , 23. březen 2017 07:00

Výdaje nového Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) by letos měly být zh...

Více 0 komentářů

Prodej mobilů v ČR loni klesl o pět procent

ČTK , 22. březen 2017 16:14

Prodej mobilních telefonů v Česku loni klesl o pět procent, uvedla analytická firma GfK. Podle infor...

Více 0 komentářů

Nařízení EU usnadní uplatnění práva být zapomenut, ale s omezením

ČTK , 22. březen 2017 15:01

Nárok na vymazání osobních údajů, který od konce května příštího roku přinesou nová pravidla EU pro ...

Více 0 komentářů

Na trh přicházejí GFI OneConnect a OneGuard

Pavel Houser , 22. březen 2017 09:30

Nová řešení ochrany firemních sítí a e-mailové infrastruktury . ...

Více 0 komentářů