Empfohlen, 2019

Tipp Der Redaktion

US meldet Alarm, nachdem SAP-Fehler multinationale Unternehmen gefunden hat

Die US-Regierung warnt große Unternehmen, die Konfiguration ihrer SAP-Software-Systeme nach einem Computer-Sicherheitsunternehmen zu überprüfen Entdeckt mindestens 36 globale Unternehmen waren noch anfällig für einen signifikanten Bug vor mehr als fünf Jahren gepatcht.

Der Bug ermöglicht Hackern remote Zugriff auf vollständige administrative Zugriff auf SAP-Systeme und betrifft mindestens 18 der Softwaresysteme des Unternehmens, je nach Sicherheit Anbieter Onapsis.

Angreifer können damit die vollständige Kontrolle über die Geschäftsinformationen und -prozesse auf diesen Systemen erlangen, ebenso wie potente Zugang zu anderen Systemen ", sagte das US-Ministerium für innere Sicherheit in einem Bulletin. Es ist erst das dritte Mal in diesem Jahr, dass die Abteilung einen solchen Hinweis veröffentlicht hat.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Ob eine Unternehmens-Cloud-Plattform anfällig ist, hängt von ihrer spezifischen Konfiguration und benutzerdefinierten Anwendungen ab das läuft.

Während seiner Forschung entdeckte Onapsis, dass große Firmen in den US, in Großbritannien, in Deutschland, in China, in Indien, in Japan und in Südkorea verletzbar waren. Die Arbeit des Unternehmens umfasste eine Reihe von Branchen wie Öl und Gas, Telekommunikation, Energieversorger, Einzelhandel, Automobil- und Stahlindustrie.

Als unmittelbare Antwort empfiehlt DHS Unternehmen, den SAP-Sicherheitshinweis 1445998 zu beachten und das Invoker-Servlet zu deaktivieren. Dieser Fehler wird mit einer sensiblen SAP-Java-Anwendung genutzt, um Administratorzugriff auf Systeme zu erhalten, sagte Onapsis.

SAP sagte, das Aufrufservlet sei in NetWeaver 7.20 deaktiviert, so dass alle seit 2010 veröffentlichten SAP-Anwendungen keine Sicherheitslücke aufweisen .

Warum ist der Fehler immer noch ein Problem?

SAP gab an, dass er in Releases, die älter als NetWeaver 7.20 sind, nicht standardmäßig deaktiviert wurde, da er die von Unternehmen entwickelte benutzerdefinierte Software beschädigen konnte.

Onapsis nicht Schuld an SAP ist die mangelnde Transparenz und Governance von Cybersicherheitsproblemen und -risiken durch Unternehmen auf SAP-Systemen, sobald diese installiert sind.

"Dies ist eine Verantwortung, die den Informationssicherheitsteams, Dienstleistern und der externen Revision der SAP-Kunden obliegt Firmen ", sagte er.

Top