Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoeker waarschuwt voor gevaarlijke SAP-configuraties

Een beveiligingsonderzoeker waarschuwt dat veel SAP-implementaties zo zijn geconfigureerd dat ze een beveiligingsprobleem vormen. SAP-servers zouden soms direct aan het internet gekoppeld zijn en daarom vatbaar zijn voor aanvallen.

Mariano Nuñez Di Croce waarschuwt op de Hack in the Box-beveiligingsconferentie in Amsterdam opnieuw voor slecht geconfigureerde SAP-servers, die gevoelig zijn voor hackaanvallen.

Al in 2007 waarschuwde de Argentijnse onderzoeker voor hetzelfde probleem, maar volgens hem is er in de tussentijd nog weinig veranderd. "Alle penetratiepogingen die we uitvoeren op SAP-installaties bij bedrijven, zijn succesvol", beweert Nuñez Di Croce. Daarbij zou het onder andere om bedrijven uit de Fortune 500-lijst gaan, zoals banken, winkelketens en verzekeringsbedrijven. De onderzoeker wil de bedrijven niet bij naam noemen.

Hoewel SAP volgens Nuñez Di Croce zijn pakket in de afgelopen jaren flink veiliger heeft gemaakt, zouden veel bedrijven nog oude versies en modules draaien, die met bekende beveiligingsproblemen kampen. Ook worden er vaak fouten gemaakt bij de implementatie. "Sommige bedrijven willen bijvoorbeeld two-factor-authentication invoeren", zegt Nuñez Di Croce. "Maar dat configureren ze dan zo slecht dat het systeem in feite onveiliger wordt."

Sommige SAP-servers zijn direct aan het internet gekoppeld. Daar zou altijd een proxy tussen moeten zitten die de authenticatie regelt, zegt de onderzoeker. Wanneer SAP Enterprise Server bijvoorbeeld direct aan het internet wordt gekoppeld, kunnen kwaadwillenden vrij eenvoudig een foutieve authenticatie-header sturen, die door de server wordt geaccepteerd. SAP waarschuwde in 2006 al voor deze kwetsbaarheid; toch komt dit volgens de Argentijnse onderzoeker nog vaak voor.

Door Joost Schellevis

Redacteur

20-05-2011 • 14:37

48 Linkedin Google+

Reacties (48)

Wijzig sortering

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True