SAP repareert ernstige bug in ICM-software waarmee systeem over te nemen is

Softwareleverancier SAP heeft patches uitgebracht voor een aantal kwetsbaarheden in veel van zijn producten. Inmiddels waarschuwen Amerikaanse autoriteiten ervoor de kwetsbaarheden te repareren. Die hebben hoge CVSS-scores en maken remote code executions mogelijk.

SAP heeft in totaal 14 kwetsbaarheden gerepareerd tijdens zijn maandelijkse patchcyclus. Een deel daarvan repareert de log4j-kwetsbaarheid die in december werd gevonden. Het bedrijf werd op een aantal van de andere kwetsbaarheden gewezen door securitybedrijf Onapsis. Dat zag meerdere bugs in SAP's Internet Communication Manager. Onapsis noemt die verzameling bugs Icmad. De ICM-software is een belangrijk onderdeel van NetWeaver, dat in een groot deel van SAP's producten zit.

De drie kwetsbaarheden die Onapsis aandroeg, zijn CVE-2022-22536, CVE-2022-22532 en CVE-2022-22533. Die eerste is de ernstigste; die krijgt een CVSS-score van 10. De bug is volgens Onapsis makkelijk uit te buiten door alleen een payload naar een kwetsbaar systeem te sturen. Daarvoor is geen authenticatie of bepaalde configuratie nodig. Een aanvaller kan daarmee een systeem volledig overnemen of er code op uitvoeren.

De onderzoekers hebben een gratis tool beschikbaar gesteld waarmee systeembeheerders hun netwerken kunnen scannen op de kwetsbaarheid. Voor zover bekend wordt het lek niet actief uitgebuit. Inmiddels waarschuwt ook het Amerikaanse Cybersecurity and Infrastructure Security Agency voor de kwetsbaarheid. De instantie roept beheerders op de patch zo snel mogelijk te installeren.

Door Tijs Hofmans

Nieuwscoördinator

10-02-2022 • 15:20

43

Submitter: Muncher

Reacties (43)

43
42
11
2
0
13
Wijzig sortering
Onze SAP systemen worden extern gehost. De leverancier is al sinds gisteren druk bezig om alles gepatched te krijgen. Het schijnt niet heel erg eenvoudig te zijn om de betreffende patches te installeren want het raakt de core-systemen van de SAP omgevingen en dient dus met de grootste zorg uitgevoerd te worden.

Gelet op de mailtjes die ik voorbij zien komen is er bij de leverancier een redelijk groot team opgeschaald om dit allemaal voor elkaar te krijgen.

Blij dat we deze maand geen grote CVE's op Microsoft systemen in de maandelijkse patchronde hebben. En toen kwam het bericht (nieuws is sinds dinsdagavond al bekend dus Tweakers is wat aan de late kant) over deze gevonden issues in de SAP systemen. Maar onze SAP afdeling mag dit allemaal coördineren en communiceren in de organisatie :)
Alles wat bij SAP moet gebeuren is complex en duurt lang... |:(

(en dat is niet alleen om dat het systeem als geheel complex zou zijn maar ook omdat het niet altijd even goed in elkaar steekt)
Daar komt nog bij dat alle softwarehuizen dit soort patches gratis aanlevert, maar bij SAP moet het door een partner worden geïnstalleerd en uitvoerig gecontroleerd.
Die partner overhandigt na afloop een forse rekening voor de gemaakte uren. |:(
Totale waanzin idd. Maar niet in de ogen van SAP natuurlijk.

Wel zuur vind ik; matige spul maar markleider (dus 'goed') en ook al blijkt dat het matig is; de rekening komt bij de afnemer. Op die manier wordt matigheid dus beloond.
Als het bedrijf inhouse iemand heeft die dit kan, kan die dat gewoon zelf doen hoor.
SAP...wat een draak van een programma. Kan me herinneren dat ik met gebruikers die installatie doorliep. Ongeveer 150 verschillende checkboxes en gigantisch complex allemaal. Geen idee wat het nou eigenlijk doet, behalve dat de installatie echt lang duurt :P
Arme gebruikers, iemand die SAP configureert en geen idee heeft "wat het nou eigenlijk doet."
Een SAP basis consultant houdt zich alleen met de installatie en onderhoud. Als SAP consultant mag je al blij zijn als je 1 module goed kent. En er zijn er nogal wat SAP disciplines.
What is the responsibilities for a SAP Basis Consultant?
What should be learned in order to be a Good Basis Consultant?
These are some task you need to concentrate as a new comer to BASIS:
1. Starting & Stopping R/3 System.
2. SAP User Administration.
3. Daily Monitoring Tasks.
4. Spooling and Printing.
5. Background Processing.
6. R/3 System Landscape.
7. Client Administration.
8. Backup & Restore.
9. R/3 Administrative Task.
10. SAP R/3 installation and router Installation.

SAP business consultant houdt zich bezig met inrichting en/of processen. Daarnaast heb je nog de technische SAP Consultants die zich met technische aspecten in systeem zoals interface iDocs/BAPI/Smart forms of ABAP etc bezighouden.

[Reactie gewijzigd door lighting_ op 24 juli 2024 17:51]

met 25+ jaren in het vak kan ik rustig zeggen dat als ik alleen deze werkzaamheden moest doen het vanuit mijn bed kon doen. Maar dat gaat allang niet meer op.
Alles maar dan ook alles wat functionele consultants niet kunnen is "basis" daarnaast verwachten ze dat jij ook hun werk begrijpt, of het nu EDI verkeer of laad acties in business warehouse, of het troubleshooten van een HANA cloud connector is om maar wat te pakken. en ja, debuggen van ABAP mag je natuurlijk niet vergeten, of i.i.g. vertellen dat een query die niet performed ook uit een andere tabel gehaald kan worden of een ander index op die tabel.
Ik chargeer natuurlijk maar het werk van een basis consultant is veelomvattend en heel breed, tegenwoordig kan je maar van enkele zaken écht kennis hebben. Naast Basis houd ik me alleen nog met HANA bezig, de non- in memory DB's zijn i.m.o. passé
Je vertelt niks nieuws. Ze verwachten tegenwoordig alles van je. Geldt zowel voor functionele consultants. Hana is echt niet wijdverbreid. Dus zo passe is non in memory DB niet. Heel veel bedrijven zijn nog niet over.

[Reactie gewijzigd door lighting_ op 24 juli 2024 17:51]

i.d.d. dat geldt voor alle consultants, maar ik gaf maar aan dat als "basis consultant" het werk niet bij installaties en upgrades ophoud.
Wat HANA betreft, dit is echt een enorme winst qua versnelling, omdat ik daar al een aantal jaren mee werk (Shell/Rabo/Overheid ect.) is mijn interesse voor Oracle (die na schampere opmerkingen toch een eigen in- memory DB ging ontwikkelen) Sybase, MaxDB of Ms SQL Server op een laag pitje komen te staan.

Ontopic: Deze week op een hoop systemen de SAP Kernels en web dispatchers vervangen :)
S4Hana heb ik niks van gezien. En heb al wat aardig klanten met SAP gehad.
Eerst ervaren dan geloven.

[Reactie gewijzigd door lighting_ op 24 juli 2024 17:51]

basis != business
Sichere Arbeitsplätze für Berater :) :)
R/3 ECC (met IS/U), CRM en IdM hier. Het kan. :)

IdM wat minder dan de andere twee overigens, dat wel.
Als je kijkt bijv naar SAP FICO/SD/MM/QM etc dan is dat in mijn ogen onmogelijk.
Er bestaan niet voor niets specialisten bureaus voor exotische modules.
Je kan er redelijk verstand van hebben maar niet in totale diepte.
En al zeker niet als het om inrichting gaat.

[Reactie gewijzigd door lighting_ op 24 juli 2024 17:51]

Ook daar is het best mogelijk hoor om een behoorlijk gedetailleerd kennisniveau op te bouwen rondom één of meerdere modules. Ligt er een beetje aan welke modules. EWM of FICO is heel groot en je ziet hier vaak dat deze consultants enkel FICO doen en een beetje kennis hebben van de rest, wat ze weer nodig hebben bij FICO. Aan de andere kant heb je MM en SD; die zijn prima te combineren vind ik zelf, niet dermate complex. Zelf ben ik ook SD/MM consultant :). Zelfde geldt voor de exotische modules, zoals PM, PS etc.
Daarnaast is het zo zodra je je met meer modules bezig gaat houden wordt de kennis al oppervlakkiger en beweegt men zich meer naar een architectenrol.

* Ga ik wel enkel in op SAP S/4 HANA; SAP heeft natuurlijk nog veel meer producten in het portfolio :)
We zeggen hetzelfde.
Hoe groter de toko hoe minder je kennis gaat maken met andere modules. Je wordt specialist in een klein gebied. Laten we al helemaal niet over de branche modules hebben.

[Reactie gewijzigd door lighting_ op 24 juli 2024 17:51]

Hehe, IS-M/SD consultant hier. We zijn met zo'n 10 man in Nederland en we kennen elkaar allemaal.
Met een CVE score van 10 lijkt het er op dat zelfs SAP niet weet "wat het nou eigenlijk doet." :+
SAP is niet één programma. Ze maken van alles en nog wat :)
Wel eens echt mee gewerkt?

Bestaat uit vele modules.

Sommige modules zijn inderdaad een ramp, maar andere modules zitten prima in elkaar.
Ik ken helaas alleen de negatieve kant...maar goed, wie weet.
SAP is niet zozeer een 'simpele applicatie'. Daar draaien letterlijk hele bedrijven op, met tig processen die van alles aansturen en automatiseren. Dat kunnen finance zaken zijn, maar ook aansturing van een fabriek, magazijn en dergelijke.
Complexe bedrijfsprocessen laten zich niet 1-2-3 vangen in een excelletje met een macro nee.
Zet daar dan nog de diverse legal requirements op en de wereldwijde boekhoudstaandaarden etc en het feest is compleet.
Het is makkelijk schieten, maar een Oracle ERP doet er echt niets voor onder, om maar 1 voorbeeld te noemen.
Het idee is dan ook dat je je bedrijfsprocessen aan SAP aanpast ipv andersom ;)
Mooi man, £1.500 per dag vragen. Ik klaag niet
Inmiddels waarschuwen Amerikaanse autoriteiten ervoor de kwetsbaarheden te repareren.
Tijs bedoelt waarschijnlijk net het omgekeerde.
Ik kan het aantal CVE's niet meer bijhouden de laaste tijd.
Ik kan het aantal CVE's niet meer bijhouden de laaste tijd.
Er zijn genoeg CVE's van grote bedrijven. Slechts een klein deel komt maar in het nieuws. ;)
De overheid gebruikt SAP dus die gaan gehackt worden.
Ik werk elke dag met SAP en er valt prima mee te werken. Wat ik wel altijd zeg: wie moeite heeft om een bestand van de ene map naar een andere te kopiëren gaat het lastig krijgen in SAP. De complexiteit is voor veel medewerkers wel een probleem. SAP is zo ontzettend groot dat je meestal alleen over één of enkele modules veel verstand hebt. En ja, soms tobben bedrijven met SAP, maar daar kun je niet SAP altijd de schuld van geven. Om wat redenen te noemen van moeizame SAP implementaties:

1. Veel te ambitieuze doelstellingen die niet realistisch zijn. Er worden bij het management wonderen verwacht en die wonderen gaan niet komen. Geldt ook voor Oracle en andere vergelijkbare systemen. Wees blij als je processen überhaupt doorlopen en zet liever kleine behapbare stappen ter verbetering van je SAP inrichting.
2. Te veel uitzonderingen die je processen verstoren.
3. Medewerkers die processen niet volgen (daar is geen systeem tegen bestand).
4. Veel maatwerk waar je met elke SAP update weer last van hebt.
5. En de laatste jaren: veel PDF problemen, maar dat ligt meer aan Adobe Acrobat wat zich heeft ontwikkeld tot een rampzalig pakket wat niet lekker met SAP werkt.
6. Onvoldoende interesse van medewerkers.
7. Te veel interne bureaucratie.
8. Accountants die willen dat alles met autorisaties voor medewerkers in rollen is dichtgetimmerd (op zich begrijpelijk) en juist dat leidt er toe dat mensen om processen heen gaan werken of hun inloggegevens aan collega's geven. Dit laatste klinkt ongeloofwaardig, maar geloof van mij dat het gebeurt.
Ik ga tot op een zeker hoogte met je mee.
De moeizame implementatie of overgang naar S4Hana komt omdat het systeem ontzettend inflexibel is.
In een tijd ontwikkeld dat het niet anders kon of niet vereist was.
Processen moeilijk wijzigen en/of veel tijd voor maatwerk hoeft niet de schuld van de klant te zijn, maar omdat het in SAP simpelweg tijd (en geld) kost.
En dat kwam/komt SAP niet slecht uit.
SAP is Duits, toch?

Wat ik het mooie vond aan SAP, is de rigiditeit. Die befaamde "Deutsche Gründlichkeit". Het is vrijwel onmogelijk een fatsoenlijk opgezet [productie-]proces te vernachelen met infantiele input of short-cuts of wat-dan-ook. Alles is drie-dubbel-check-garantie.

En dat was ook gelijk het nadeel; flexibele rapportage was een ramp. Ik heb jarenlang SQL systemen opgezet die 's nachts de data van SAP tapten en 's morgens de rapportages klaarzetten voor de finance guys.

[Reactie gewijzigd door Timoo.vanEsch op 24 juli 2024 17:51]

Reference data en business rules op input is vrij normaal.
Stabiel is het inderdaad wel. Al heb ik weleens meegemaakt dat SAP corrupt raakte.
Voor de inflexibiliteit op database hebben ze oa S4Hana ontwikkeld.
Rechtstreeks vanuit database rapporten genereren.
Van origine Duits ja met het hoofdkantoor nog altijd in Walldorf. Sinds een aantal jaren gaan ze als SAP SE door het leven.

Since 7 July 2014, its corporate structure is that of a pan-European societas Europaea (SE);[8][9] as such, its former German corporate identity is now a subsidiary, SAP Deutschland SE & Co. KG
hahaha dit, veel te veel herkenning in 1 bericht ;)

Wat ik ook veel zie is het gebrek aan change management bij zo'n overgang. De mismatch tussen de visie van management/directie op groei en het kunnen veranderen uit de organisaties zelf.
In de markt waar ik actief ben is men vaak enorm gegroeid de afgelopen jaren, maar zijn dezelfde medewerkers nog actief. Veel van die mensen werken er al 20+ jaar en doen al jaren op basis van ervaring hetzelfde trucje. Voor dat soort figuren is een overgang naar SAP een enorme stap die met veel begeleiding en training zou moeten worden genomen.

[Reactie gewijzigd door Rvm1 op 24 juli 2024 17:51]

Als eindgebruiker zie ik sap als een extreem zware, dure en overgewaardeerde database

Tevens is het voor een eindgebruiker totaal niet initituaief. Je kunt wel zeggen dat mensen er goed in getraind en begeleid moeten worden maar imho zou dat voor software juist helemaal niet zo moeten zijn. Automatisering zou het proces voor een eindgebruiker juist makkelijker moeten maken en niet ingewikkelder.

Het enige programma wat mij ooit heeft laten voelen dat ik een aap ben die een kunstje heefd geleerd is sap en ik heb dat gevoel toch echt niet snel.

[Reactie gewijzigd door jbhc op 24 juli 2024 17:51]

Ik heb vooral last van puntje 2.
Tot nu toe nog nooit een klant tegengekomen die geen tig uitzonderingen wilt. En vooral ook nog geen klant tegengekomen die zelf weet welke uitzonderingen ze precies willen, tot nadat het project al lang live is en het miserie wordt om die uitzondering er nog in te krijgen.
ik kan het ook andersom redeneren. Beginnende klanten laten zich leiden door de consultant en weten niet wat SAP allemaal kan. De consultant heeft eenmaal een kennis voorsprong. Na live en ervaring hebben ze die wel. En wordt getwijfeld waarom de consultant deze oplossing bood.

[Reactie gewijzigd door lighting_ op 24 juli 2024 17:51]

SAP bestaat alleen nog maar omdat consultancy bureaus er miljoenen aan verdienen en leiders in bedrijven niet begrijpen hoe groot het verschil is tussen de sales verhalen van SAP en de werkelijkheid. (Of simpelweg niet de stap durven te zetten om ze buiten de deur te zetten). Hana is een draak, alleen bedoeld om van Oracle af te komen, maar in het SAP sprookjesboek de bron van al het goede is. Alle problemen verdwijnen door Hana.

SAP was revolutionair, maar de hoeveelheid mensen die nodig zijn om het in de lucht te houden is niet meer van deze tijd en de software zelf ook niet.

Al die SAP modules zijn wereld op zich. Integratie tussen SAP producten is dramatisch slecht.

Voor core productie systemen is er een markt, maar voor veel zaken zijn er betere producten die beter integreren met SAP dan hun eigen meuk.

Op dit item kan niet meer gereageerd worden.