פרצות אבטחה חמורות נתגלו לאחרונה על-ידי חברת אבטחה המתמחה ב-SAP Security; פרצות אלו קיימות ככל הנראה על כמחצית משרתי ה-SAP הזמינים והנגישים לאינטרנט, וניצולן יודגם בימים הקרובים בכנס Black Hat המתקיים בלאס וגאס השבוע.
המומחה לאבטחת SAP, אלכסנדר פוליאקוב ידגים בכנס כיצד יכול פורץ פוטנציאלי לנצל את פירצת האבטחה בכדי לבצע מספר פעולות בלתי מורשות בליבה של תוכנת ה-ERP המובילה והנפוצה בעולם.
הפרצות, אשר מקורן במנוע ה-J2EE של SAP NetWeaver, עלולות לאפשר לתוקף לעקוף את מנגנוני ההזדהות של התוכנה, ובכך להשיג גישה ושליטה על המערכות הפיננסיות של החברה, ובך לספק לו נתיב לריגול תעשייתי, חבלה, שינוי נתונים, הונאות ועוד.
"לדוגמא, ניתן לנצל את הפרצות בכדי ליצור משתמש חדש במערכת, ולשייכו לקבוצת הניהול החזקה Administrators", אמר פוליאקוב והוסיף: "ניתן לבצע את התקיפה אפילו אם המערכת מוגנת באמצעות Two-Factor Authentication".
בכדי להוכיח את קיומן של הפרצות, נעשה שימוש בתוכנת סריקה אשר מאתרת שרתי SAP באינטרנט; יותר ממחצית השרתים שאותרו נמצאו כפגיעים לפירצה.
יש לזכור כי מאליו מובן כי שרתים אלו פגיעים גם לתקיפות ממקור האיום הפנימי; ייתכן אף ששיעור גבוה יותר של שרתים פגיע ממקורות פנימיים, וזאת במידה ונעשה שימוש ב-NetWeaver לצרכים פנימיים בלבד.
בנוסף, מספר גדול יחסית של פרצות באפליקציה זו כבר נתגלה מתחילת השנה הנוכחית; להלו מספר קישורים רלוונטיים:
http://www.securityfocus.com/bid/48925
http://www.securityfocus.com/bid/48718
http://www.securityfocus.com/bid/48509
http://www.securityfocus.com/bid/48351
http://www.securityfocus.com/bid/47391
http://www.securityfocus.com/bid/47360
לידיעה המקורית (אנגלית) - כאן