SAP-kunder hacket gennem 6 år gammel sårbarhed

12. maj 2016 kl. 16:493
SAP-kunder hacket gennem 6 år gammel sårbarhed
Illustration: Wolfram Scheible.
SAP lukkede sikkerhedshullet i 2010, men foreløbig har det vist sig, at mindst 36 virksomheder er blevet hacket, fordi de omgik sikkerhedsopdateringen.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Mindst 36 store industrivirksomheder er blevet hacket gennem et sikkerhedshul i deres SAP-systemer. Vel at mærke et sikkerhedshul, som blev fundet i 2010. Men denne gang er det ikke softwareleverandørens skyld.

SAP lukkede nemlig sikkerhedshullet med en opdatering i 2010, men de ramte virksomheder har ikke installeret opdateringerne, fordi de enten har brugt en tilpasset applikation eller ændret standardkonfigurationen. Det rapporterer sikkerhedsfirmaet Onapsis.

Selvom der er tale om et gammelt sikkerhedshul, så har US-Cert udsendt et varsel, fordi der kan være mange andre SAP-kunder, som heller ikke har installeret den pågældende sikkerhedsopdatering.

Problemet findes i en Invoker Servlet i SAP's Java-platform og kan udnyttes, blot der er webadgang til SAP-systemet. Det er ikke nødvendigt at kende en bruger på SAP-systemet for at udnytte sikkerhedshullet.

Artiklen fortsætter efter annoncen

Ifølge Onapsis har beskrivelser af, hvordan man udnytter sikkerhedshullet, ligget på blandt andet kinesiske hackersider i flere år. Derfor er det formentligt ikke statslige efterretningstjenester, der står bag de 36 tilfælde, der er kendt på nuværende tidspunkt.

Disse forholdsvis frit tilgængelige beskrivelser er imidlertid også årsagen til, at der potentielt kan være flere SAP-kunder, der har været udsat for angreb, end de 36, der kendes til.

3 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger