Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 48 reacties

Een beveiligingsonderzoeker waarschuwt dat veel SAP-implementaties zo zijn geconfigureerd dat ze een beveiligingsprobleem vormen. SAP-servers zouden soms direct aan het internet gekoppeld zijn en daarom vatbaar zijn voor aanvallen.

SAP company logoMariano Nuñez Di Croce waarschuwt op de Hack in the Box-beveiligingsconferentie in Amsterdam opnieuw voor slecht geconfigureerde SAP-servers, die gevoelig zijn voor hackaanvallen.

Al in 2007 waarschuwde de Argentijnse onderzoeker voor hetzelfde probleem, maar volgens hem is er in de tussentijd nog weinig veranderd. "Alle penetratiepogingen die we uitvoeren op SAP-installaties bij bedrijven, zijn succesvol", beweert Nuñez Di Croce. Daarbij zou het onder andere om bedrijven uit de Fortune 500-lijst gaan, zoals banken, winkelketens en verzekeringsbedrijven. De onderzoeker wil de bedrijven niet bij naam noemen.

Hoewel SAP volgens Nuñez Di Croce zijn pakket in de afgelopen jaren flink veiliger heeft gemaakt, zouden veel bedrijven nog oude versies en modules draaien, die met bekende beveiligingsproblemen kampen. Ook worden er vaak fouten gemaakt bij de implementatie. "Sommige bedrijven willen bijvoorbeeld two-factor-authentication invoeren", zegt Nuñez Di Croce. "Maar dat configureren ze dan zo slecht dat het systeem in feite onveiliger wordt."

Sommige SAP-servers zijn direct aan het internet gekoppeld. Daar zou altijd een proxy tussen moeten zitten die de authenticatie regelt, zegt de onderzoeker. Wanneer SAP Enterprise Server bijvoorbeeld direct aan het internet wordt gekoppeld, kunnen kwaadwillenden vrij eenvoudig een foutieve authenticatie-header sturen, die door de server wordt geaccepteerd. SAP waarschuwde in 2006 al voor deze kwetsbaarheid; toch komt dit volgens de Argentijnse onderzoeker nog vaak voor.

Moderatie-faq Wijzig weergave

Reacties (48)

Hoewel SAP volgens Nuñez Di Croce zijn pakket in de afgelopen jaren flink veiliger heeft gemaakt, zouden veel bedrijven nog oude versies en modules draaien, die met bekende beveiligingsproblemen kampen.
Om even duidelijk te zijn: ik weet niet veel af van SAP software, verbeter me als ik scheeft zit, ik ga nu eignl enkel een beetje speculeren :)

"Veel bedrijven zouden nog oude versies van modules draaien", ik neem aan dat het hier ook voor betaald moet worden en dit niet gewoon een update is? Veel bedrijven letten zwaar op hun uitgaven en zijn dus intern niet echt happig om meteen naar een nieuwe versie te gaan... Een beetje zoals de overgang van XP naar W7.

"die met bekende beveiligingsproblemen kampen", worden deze beveiligingsproblemen dan niet geupdate? Moet je maar zien dat je naar de nieuwste versie kan upgraden?

In dat geval zou dit bericht niet mogen verbazen.

EDIT: Maar ze moeten natuurlijk ook wel goed geconfigureerd worden....

[Reactie gewijzigd door Rinzler op 20 mei 2011 16:27]

Je hebt voor sap een versie ECC6 welke de nieuwste is en waar met enige regelmaat updates op komen. Je hebt de oudere versies van SAP (4.6) waar ook met enige regelmaat updates op komen.
Veel bedrijven lopen achter met deze updates, niet omdat de software duur is maar vooral omdat ze de zaakjes niet onder controle hebben. Invoeren van updates betekent systeemtests, gebruikerstest en regressietesten. Dus ook testserver resources vrijmaken, etc.
By the way: SAP is niet open source, maar je kan wel bijna de hele source bekijken en zelfs aanpassen.
SAP zou naar mijn idee niet gaan werken als open source pakket, daar is het te complex voor.
Je hebt plaatsen binnen SAP waar je code mag plaatsen van SAP, op bijna alle andere plekken kan je code aanpassen maar adviseert SAP dit niet te doen. Wat je ziet is dat bedrijven met veel maatwerk op de verkeerde plek hierdoor achterlopen op de updates etc.
(deze updates bevatten bijvoorbeeld een nieuwe versie van dat stukje code waar een aanpassing op is gedaan, dus aanpassing weg of veel werk met inspelen updates).
Financieel weet ik er ook niet veel van, maar ik neem aan dat je met de licenties op SAP ook een soortement van onderhoudscontract afsluit? Het zijn maatwerkoplossingen, lijkt me dat zowel SAP als de afnemer er bij gebaat zijn om een goed ingericht systeem af te leveren, waarbij er ook de komende tijd support blijft op het maatwerk.
SAP producten zijn geen maatwerk oplossingen. SAP producten zijn just that: producten. Dat ze voor veel bedrijven aangepast moeten worden, en dat dat mogelijk is, is een ander verhaal. Die aanpassingen worden overigens over het algemeen niet door SAP gedaan maar door consultancy bedrijven zoals ATOS, Logica, CTAC, etc.
Juist, je hebt gelijk - ik heb een tijd (te?) lang gewerkt in een omgeving waarbij er behoorlijk wat maatwerk gebouwd werd voor SAP, en heb (te?) weinig ervaring met SAP buiten die omgeving ;)
Tja, verbaast me niets, SAP is compleet gericht op verkopen van consultancies en niet op leveren van goede software.. Documentatie die amper te interpreteren is zonder gebruik te maken van consultancy, hell 1 van de eerste regels in hun documenten gaat vaak over dat je consultancy moet gebruiken...
Dat valt best wel mee. SAP zelf moet het niet echt van de consultancy hebben, maar vooral van licentie en support verkoop. Consultancy wordt over het algemeen gedaan door bedrijven en partners, die het wel van de consultancy opdrachten moeten hebben.

Over het algemeen zou je kunnen stellen dat het een symbiotische relatie is. Voor SAP is het belangrijk dat er vakbekwame mensen te huur zijn, omdat een slechte implementatie o.i.d. negatief afstraalt op hun software. Voor klanten is het uiteraard ook belangrijk dat er kwalitieit wordt geleverd door het ingehuurde consultancy bedrijf. Het consultancy bedrijf wil uiteraard een goede relatie met zowel klant als leverancier (en natuurlijk geld verdienen).
Alle penetratiepogingen die we uitvoeren op SAP-installaties bij bedrijven, zijn succesvol", beweert Nuñez Di Croce.

Ik daag hem uit om ons demosysteem te penetreren. Daar staat gewoon een reverse proxy voor in de vorm van een SAP Web Dispatcher die precies die ingangen blokkeert waar Di Croce gebruik van maakt.

Je kunt roepen dat al je pogingen succesvol zijn, maar dan geen namen noemen, vind ik een beetje flauw. Ik zou wel bewijs willen zien van Fortune 500 companies die hun SAP-systeem direct aan interwebz hebben hangen. Ik ben niet overtuigd van zijn verhaal.
Een proxy ervoor is precies wat de "onderzoeker" beweert als goede practice. (ik hoop dat je systeem ver gaat dan alleen bepaalde poorten open zetten)

Je kunt hem uiteraard betalen voor een penetration test, daarmee verdient hij zijn geld, en daarom houdt hij altijd wat beveilingsgaten achter de hand, om na de penetration test te kunnen adviseren wat er gedaan kan worden.
Een proxy ervoor is precies wat de "onderzoeker" beweert als goede practice.
De onderzoeker spreekt zichzelf tegen. Eerder in het artikel staat immers:
"Alle penetratiepogingen die we uitvoeren op SAP-installaties bij bedrijven, zijn succesvol", beweert Nuñez Di Croce.
Nu kan het zijn dat hij nog nooit een penetratiepoging heeft uitgevoerd op een implementatie met een proxy, maar dan begrijp ik niet hoe hij kan stellen dat een proxy een good practice is.
ok, Maar alle namen noemen? das vragen om problemen.
ik hoop wel dat ze tenminste die bedrijven hebben laten weten dat ze binnen konden.

maar aan de wereld verkondigen van wie allemaal lek is zonder de bedrijven de kans te geven het te fixen. das niet nietjes, op zijn zachts gezegd.
Hi Jan,

Wat Mariano m.i. bedoelt zijn penetratietests vanaf het interne netwerk. Niet alle penetratietests zullen zijn uitgevoerd vanaf het internet. Mijn ervaring is wel dat inderdaad vanaf het interne netwerk bijna alle SAP systemen zijn te penetreren. Ik heb vorige jaar een presentatie willen geven op de SAP inside track NL om hierover meer te vertellen maar dat kon er toen niet van komen. Wellicht dit jaar..... Als SAP basis consultant ben ik inmiddels al weer jaren bezig me te verdiepen in specifiek SAP security (NIET autorisaties) en het is echt interessant om te zien hoe weinig diepgaande kennis er hierover is hoe open klant-systemen vaak staan.
Dan heeft SAP nog wat werk te verschaffen. Lijkt mij dat een software leverancier bij implementatie een rol moet spelen in hoe het NIET moet. En achteraf beveiligingsrisico's moet melden aan de afnemer.

Bij degene die in 2006 een waarschuwing hebben gehad en hebben gekozen voor de 'minder' veilige optie. Dat is jammer maar dan heb je wat uit te legen aan je klanten als het mis gaat.

Toch kan ik mij niet zo goed voorstellen dat een Fortune 500 bedrijf zijn SAP server direct aan het internet hangt. Die hebben meestal wel te maken met een ietswat groter netwerk.

SAP heeft sinds 2006 haar applicaties flink verbeterd maar perfect zal het nooit zijn. Het is immers een heel erg uitgebreid (in elkaar gebreid) 'pakket'. Waardoor het herstellen van fouten enigszins meer moeite kost. Zeker in vergelijking met een kleiner 'pakket' of opnieuw beginnen.
Juist grotere bedrijven hebben 1 of meerdere DMZ's, SSN's, en achterliggende productienetwerken. Moet je eens proberen om een webportal op te zetten voor je SAP-applicaties naar bijv. internationale businesspartners, dan moet je dus al minstens 1 server direct aan het internet hebben hangen waar je sowieso op binnen moet komen. Als de authenticatiemethode/beveiliging daar al niet klopt, wandel je binnen de kortste keren alle netwerken binnen dat bedrijf over.

Dat soort netwerken hangen echt van de port forwards, (reverse) proxy's, firewalls, routers en applicatie/databaseservers aan elkaar en een foutje is heel snel gemaakt.
Moet je eens proberen om een webportal op te zetten voor je SAP-applicaties naar bijv. internationale businesspartners, dan moet je dus al minstens 1 server direct aan het internet hebben hangen waar je sowieso op binnen moet komen.
Dit is niet waar. Het is niet nodig om hiervoor een SAP server in de DMZ te zetten of toegangelijk te maken vanaf het internet.
Iedere consultant of 'specialist' die dit beweerd moet maar snel op cursus of te rade gaan bij mensen die er wel verstand van hebben.

Ik zit al vele jaren in de (technische) SAP wereld en dit is echt onzin.
Ik denk dat het idd niet nodig is (en mss uit den boze?) om een SAP server in de DMZ te zetten. Maar heb je dan geen webserver nodig die communiceert met de dan interne SAP-server en die deze services aanbeid aan de internationale businesspartners?

(mss was jaapengel ook in die richting aan het denken)

Als je die webserver dan niet goed beveiligd, jah... :P

Ik ben in ieder geval geen specialist :P daarom dat ik het vraag, schiet me niet af als ik er zwaar naast slaag :X
Klopt, dat zei ik dus ;) je hebt een frontend nodig om uberhaupt via internet in te willen gaan loggen. Dat loopt vervolgens via reverse proxy's en authenticatie-databases en een berg firewalls (als het goed is) naar je applicatieserver(s), die daarna weer connectie maakt met je database-server(s). Maar om het in simpele termen te zeggen: als je het userid 'admin' met default password 'admin' open laat staan, kan iedereen er alsnog in komen, ongeacht hoeveel firewalls je hebt.
SAP Webdispatcher in je DMZ en klaar. vervolgens alle communicatie naar buiten via deze webdispatcher laten lopen (of 2 vanwege loadbalancing) en je bent er.
Waar heb ik 't over een SAP-server?

Ik zeg alleen dat je ergens 'een' server aan het internet moet hebben hangen om toegang te faciliteren. Dat daar legio authenticatie-servers en DMZ/SSN/productie-LAN servers tussen mogen zitten doet daar niets aan af. "Ergens" kom je op binnen en daar kan "dus" al een lek in zitten.

Of die portal nou op 1 enkel Sun systeem draait, op een Red Hat Enterprise cluster of een IBM pSeries boeit niet. Je moet 'ergens' toegang verlenen en zorgen dat je 'ergens' tegen kan authenticeren. Als de authenticatie geslaagd is, kom je 'het' systeem binnen. Als de authenticatie zwak is, of een lek bevat, is je SAP-omgeving vulnerable.

Iedere consultant of 'specialist' die niet kan lezen moet maar snel op cursus of te rade gaan bij de plaatselijke lagere school.

Ik zit al vele jaren in het ICT-beheer en dit is echt geen onzin.

[Reactie gewijzigd door DigitalExcorcist op 20 mei 2011 16:41]

Hoe complexer en groter het netwerk, hoe lastiger het af te schermen en tot in de puntjes te beveiligen is, voor sommige toepassingen moet je nou eenmaal bepaalde dingen openzetten (waarmee je weer een risico creëert).

Ik neem aan hoop dat alle Fortune 500 bedrijven regelmatig vulnerability-scans uitvoeren en er adequaat op reageren.

De SAP software zou moeten weigeren te starten als er een beveiligingsconflict is (zoals sommige Linux software doet als je het probeert te draaien als root). Als je het niet implementeert volgens de SAP security-guidelines zou je geen support moeten kunnen krijgen, dan heb je kans dat er iets aan gedaan wordt.

[Reactie gewijzigd door donny007 op 20 mei 2011 15:00]

Sony anyone?

Maar goed dit is wel verontrustend wetende dat er zoveel Half-open systemen zijn waar grote corporaties niets aan doen ?
Is dat een vraag of een stelling?

Wat er bij Sony gebeurd is staat hier los van. Een DDoS aanval legt zelfs de beste SAP portals plat ;) dat daarachter de beveiliging niet op orde was bij Sony kan je, zonder verdere kennis, niet aan SAP wijten. Voor zover ik heb gelezen is er op een applicatieserver van het PSN zelf ingebroken en daarvandaan zijn gegevens ontvreemd.

Wat verontrust is niet zozeer die half-open systemen, maar dat je mag verwachten dat Quote-500 bedrijven toch wel 2x per jaar audits zouden moeten laten uitvoeren die dit aan het licht hadden moeten brengen. Wat is er met die audits gebeurd? Ik bedoel, als je niet door zo'n audit komt heb je een serieus probleem als je bijv. wil exporteren naar landen als Amerika. Die hebben behoorlijk wat eisen als het op veiligheid van fysieke goederen maar ook van informatiesystemen aankomt..
DDoS had niets te maken met het plat gaan van PSN als je dat dacht..
Ook is het nog maar steeds de vraag of de beveiliging van Sony niet op orde was (genoeg tegenstrijdige berichten inmiddels), vergeet niet dat het altijd beter kan, maar ergens moet je een grens trekken van wanneer iets nu slecht is of goed is.. Dat iets gehacked wordt wil nog niet zeggen dat de beveiliging slecht is, ALLES kan gehackt worden hoe goed het ook beveiligd is en als je anders daarover denkt ben je zeer naief..
Nee, Apple. iTunes heeft als backend SAP als ik het me goed herinner.
Des te meer redenen om voor opensource te kiezen ipv closed source. Dan kun je de broncode zelf doorspitten op beveiligingsproblemen en verbeteren. Dat lukt nooit met SAP en consorten

[Reactie gewijzigd door zx9r_mario op 20 mei 2011 17:09]

Dan daag ik je nu uit om een openbron pakket te zoeken dat als vervanging kan dienen voor SAP.
Een voorbeeld is OpenERP. Kijk maar naar de lijst van bedrijven die dit gebruiken. Er zitten naast de kleine bedrijven ook hele grote tussen.

http://www.openerp.com/products/new-references
En er staan dus ook logo's bij van bedrijven die met SAP werken.

Ik werk zelf voor Veolia, en ben dus ook 100% zeker dat zij op SAP draaien. Wat ons logo staat te doen bij openerp vraag ik me toch wel af...
Da's wel heel eenvoudig gedacht.....

Als je de brondcode van een product als SAP wilt doorspitten dan denk ik dat je rustig een man of 100 fulltime kunt inhuren en dan een jaar later nog niet klaar zijn.....

Begrijp me niet verkeerd, ik ben voorstander van open source producten. Maar zeker niet om de broncode te kunnen doorspitten. Dat heeft geen enkele zin in 99.9% van de gevallen.
Dan kan de hele wereld de broncode doorspitten op beveiligingsproblemen en die exploiteren inderdaad :)
Je bent wel heel naief om te geloven dat opensource zoveel beter is dan closed source..
en sowieso is het gewoonweg niet mogelijk om echt veilige software te schrijven, er is ALTIJD wel een manier om een kwetsbaarheid te vinden...
Hmm, SAP is ondertussen zo'n spaghetti geworden dat ik wel geloof dat het bijna niet meer te configureren is, laat staan dicht te spijkeren tegen indringers.
Maar ja, het wordt ook moeilijk als SAP versies oplevert die alleen maar fatsoenlijk werken met hele specifieke en behoorlijk achterhaalde versies van enkele browsers, i.p.v. zich gewoon aan de W3C-standaards te conformeren.
Zover ik weet (we gebruiken SAP ook op het werk) werkt SAP alleen aan de hand van client-software.
SAP Gui is de client kant, maar SAP biedt ook oplossingen voor in de browser (SAP NetWeaver Portal, die werkt in IE en Firefox btw) en op je mobiele apparaat. Voor dat laatste hebben ze in 2010 Sybase overgenomen.

Zie ook: reviews: SAP omarmt tablet als zakelijke tool
SAP maakt ook gebruik van portals (Netweaver dacht ik dat de naam is). In HR heb je bijvoorbeeld ESS/MSS (Employee/Manager Self Service) dat bij klanten wordt geimplementeerd om bijv. de werknemers hun gegevens te laten zien, verlof te laten aanvragen, ... Dit is volledig customizable via oa ABAP webdynpro.
Dit is niet correct. Je hebt ook zogenaamde SAP portals, die je via je browser aanroept.
SAP is een ERP en dus bij definitie al een complex product, wat wel en niet kan hangt af van wat je gekocht en geïnstalleerd hebt. ook is het allemaal 'handwerk' en levert SAP ook mensen om je te helpen het draaiend te krijgen.

dus enkel zeggen "we gebruiken SAP" zegt niets over wat je nu gebruikt.

SAP levert wat de klant vraagt, (als klant zegt "ik wil met mijn IE6 browser kunnen inloggen van waar ik maar ben" dan zegt SAP "ok,dat kost 'x' hoeveelheid tijd en kost "y" hoeveelheid geld." Ze wijzen er ook op dat het belangrijk is de modules up to date te houden, en hoe je dat kunt doen.
echter dis is altijd werk voor specialisten dus niet goedkoop of makkelijk.

SAP is ook niet echt een tool voor tweakers. die maken liever zelf zon oplossing voor zichzelf ;)
SAP biedt en maakt ook gebruik van webservices, en daar komen ook de nodige security aspecten bij kijken.
Ik ben bang dat je redelijk achter loopt.
SAP Enterprise Portal, onderdeel van SAP Netweaver, ondersteund in de nieuwste versies zowel Internet Explorer als Firefox. In beide gevallen tot en met de voorlaatste versie (7, respectievelijk 3.5#).

Het probleem is echter dat de meeste Fortune 500 bedrijven intern niet zo happig zijn op upgrades en daardoor nog op IE6 draaien waardoor de nieuwste SAP EP versie niet gebruikt kan worden. Het upgraden van de SAP EP versie is nou ook niet iets wat ze graag doen.

Het probleem ligt daarmee niet zozeer bij SAP maar meer bij bedrijven die niet willen upgraden. Daar is ook meteen het beveiligingsprobleem mee uitgelegd. SAP heeft in de loop van de tijd weliswaar gewerkt aan de beveiliging maar de meeste bedrijven willen niet upgraden.....
De meeste bedrijven hebben dan ook custom SAP spul draaien en een versie omhoog schoppen kost enorm veel werk (al dat custom gedoe -- nodig omdat SAP zo'n brakke spullen maakt-- moet dan op z'n minsta afgechecked worden op compatibiliteit en in het slechtste geval aangepast worden aan). Gevolg is dat andere projecten niet meer kunnen gedaan worden door de IT-afdeling en dan is je business ook weer niet tevreden (terecht --ik zit aan de businesskant-- :-)
Het upgraden van de versie van SAP Enterprise Portal heeft over het algemeen geen enkele impact op dat "custom gedoe" waar jij het over hebt. Die redenatie gaat dus helemaal niet op.

Het is dan ook geen kwestie van SAP's "brakke spul" maar meer een kwestie van de juiste architectuur kiezen zodat je platform afhankelijkheden geminimaliseerd worden.
Hopend op het feit dat mijn bank het wel goed geregeld heeft! Slecht dat dit soort zaken blijven liggen en niet direct worden opgepakt.
dat komt ervan als SAP-consultants 3x zo duur zijn als anderen, dan moeten die snel doen wat nodig is om verder te kunnen en niets meer
Klopt, heb ik ook last van. Ik werk voor een professioneel IT-dienstverleningsbedrijf dat hoge uurprijzen vraagt voor mijn werkzaamheden wat kwalitatief en doortastend werken in veel gevallen door tijdsdruk/-focus vrijwel onmogelijk maakt. Zonde.

N.B.: Het gaat in dit geval niet per se over de inzet van SAP-consultants, maar van security specialists. Niet dat die wat mij betreft en gezien alle security breaches de laatste tijd, niet eenzelfde dikke rekening mogen presenteren. Hihi.
99% van de sap consultants heeft geen kaas gegeten van security, backups maken van een test/ontwikkelserver naar de fileserver vinden ze ook normaal (totdat die fileserver vol loopt)
Als bij zulke ingewikkelde, bij-iedereen-weer-anders, 'brakke', spaghetti-achtige software de authenticatie een probleem gaat vormen, waarom dan niet overgestapt op profiling.

Waar een normale gebruiker altijd ongeveer hetzelfde doet daar zal een ongenode snoodaard een afwijkend gebruikspatroon laten zien. Ongeacht welke badge hij op heeft gespeld.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True