Americký CERT varuje před dávno známou chybou v systémech SAP

Pavel Houser , 16. květen 2016 16:30 0 komentářů

Computer Emergency Response Team USA oficiálně oznámil, že 36 velkých, převážně mezinárodně působících firem provozuje zranitelné systémy SAP.

Příslušné opravy byly vydány už v roce 2010 a týkají se komponenty Invoker Servlet, součásti javové platformy SAPu, respektive prostředí SAP NetWeaver (servlet je obecně program v Javě spouštěný na straně serveru). Chyba může ovlivňovat celou řadu produktů SAP.

Mnohé podniky raději vůbec nechtějí zasahovat do svých kritických produkčních prostředí a nenasazují aktualizace z obav před narušením funkčnosti systémů, tím se však na druhé straně vystavují bezpečnostním rizikům. Přitom v tomto případě není ani nutné instalovat opravu, stačí Invoker Servlet vypnout. I to může ovlivnit funkčnost a vyžadovat dodatečnou konfiguraci dalších služeb; náprava není tedy triviální, což liknavost správců ale samozřejmě omlouvá jen do určité míry, přece jen na to měli 6 let. Bez opravy jde o kritický problém, protože útočník může získat plný vzdálený přístup k aplikaci bez nutnosti jakékoliv autorizace, získat kontrolu nad prostředím (včetně přístupu do dalších systémů) a např. si stáhnout veškerá data.

Celou kauzu spustila společnost Onapsis, když upozornila, že o příslušné zranitelnosti se diskutuje již řadu let na čínských bezpečnostních fórech. Právě zde se také měl objevit výčet 36 zranitelných globálních společností. Alexander Poljakov, CTO firmy ERPScan, která se zaměřuje právě na zabezpečení a penetrační testování ERP systémů, však dodává, že ohrožených subjektů/implementací SAP je minimálně o řád více. Podle Poljakova však naopak není pravda, že oněch 36 subjektů bylo opravdu kompromitováno, protože diskutující z čínských fór zřejmě patří do kategorie „white hat“.

To však neznamená, že příslušné informace nemohl začít zneužívat i někdo jiný. ERPScan potvrzuje, že když použili takto zranitelné systémy SAP jako honeypoty, útoky na sebe nenechaly dlouho čekat. US-CERT doporučuje uživatelů systémů SAP, aby je pravidelně testovali proti známým zranitelnostem, chybějícím záplatám či rizikovým konfiguracím.


Komentáře

RSS 

Komentujeme

AI i její tvůrci před soudem

Pavel Houser , 22. duben 2018 09:30
Pavel Houser

John Kingston z anglické University of Brighton poskytl pro The Register svůj pohled na právní odpov...

Více







RSS 

Zprávičky

Amazon bude dodávat zboží až do auta, i bez přítomnosti majitele

ČTK , 26. duben 2018 09:00

Amazon koncem loňského rok zahájil službu doručování balíčků do prázdného bytu, nyní nabízí doručení...

Více 0 komentářů

Správa phishingových kampaní pro každého

Pavel Houser , 26. duben 2018 08:00

S phishingovou sadou nové generace se prý i naprostí amatéři mohou úspěšně věnovat kybernetické krim...

Více 0 komentářů

Infor Visual 9 dostupný na českém a slovenském trhu

Pavel Houser , 25. duben 2018 12:13

Nová verze je odpovědí na současný nárůst zakázek a potřebu zvýšit výkonnost v malých a středně velk...

Více 0 komentářů

Kalendář

30. 04.

03. 05.
Dell EMC World 2018
01. 05.

03. 05.
IFS World 2018
14. 05.

17. 05.
TechEd-DevCon 2018

Starší zprávičky

Apple začne splácet irské vládě miliardový daňový nedoplatek

ČTK , 25. duben 2018 10:00

Apple se proti předloňskému rozhodnutí Evropské komise o zaplacení 13 miliard eur odvolal, stejně ja...

Více 0 komentářů

Streamování je poprvé největším zdrojem příjmů hudebního průmyslu

ČTK , 25. duben 2018 09:00

Příjmy hudebního průmyslu se díky streamování začaly zvyšovat po dlouhém období poklesu. ...

Více 0 komentářů

V ČR a na Slovensku se prodá přes milion a půl flash disků

Pavel Houser , 25. duben 2018 08:00

Přitom jen naprosté minimum jich je zabezpečených, uvádí Kingston s ohledem na blížící se platnost G...

Více 0 komentářů

Poskytování IT služeb mění podnikání Konica Minolta

Pavel Houser , 24. duben 2018 10:37

Prudký nárůst tržeb v segmentu IT služeb vedl společnost Konica Minolta ke změně přímého prodeje. ...

Více 0 komentářů