Luka w systemach SAP, wkrótce łaty

9 sierpnia 2011 0 przez Marcin Kaczmarek

W ubiegłym tygodniu na konferencji Black Hat została zaprezentowana luka w platformie SAP NetWeaver, która jest podstawą systemów ERP tej firmy, w tym flagowego zestawu aplikacji SAP Business Suite. Z rozwiązań SAP korzysta 100 tys. firm na całym świecie. Tymczasem luka w platformie pozwala stworzyć w systemie konto o dowolnych uprawnieniach. SAP już zapowiedział, że wkrótce pojawią się stosowne aktualizacje.

SAP NetWeaver bazuje na Java 2 Enterprise Edition. Właśnie błąd w tym silniku pozwala zaatakować system przez internet, z obejściem czynności uwierzytelniających. Przykładowo, za pomocą dwóch żądań wysłanych do NetWeavera, można utworzyć w systemie nowe konto użytkownika, a następnie dodać go do grupy administratorów. Atak jest możliwy nawet w przypadku systemów wykorzystujących dobre zabezpieczenia, np. mechanizmy podwójnego uwierzytelniania.

Problem został opisany na stronie firmy ERPScan, która go odkryła i już pracuje nad stworzeniem bezpłatnego narzędzia umożliwiającego wykrycie luki. SAP dostarczy klientom stosowną łatę w jednym z planowych terminów publikacji poprawek.