Onapsis, wereldwijd expert in de beveiliging van bedrijfskritische applicaties, bespeurt een voortdurende groei van het aantal beveiligingsrisico’s voor SAP- en Oracle-omgevingen. Onapsis publiceerde onlangs een nieuwe Security Advisory over kwetsbaarheden in configuraties van SAP HANA en SAP Trex. Een daarvan is een als kritiek aangemerkte kwetsbaarheid die cybercriminelen in staat stelt om hogere toegangsrechten voor een account te bemachtigen. Daarmee kunnen ze onbeperkte toegang krijgen tot bedrijfsgegevens en de inhoud van databases naar wens manipuleren, met inbegrip van gevoelige informatie van klanten en werknemers. Onapsis publiceerde daarnaast diverse Security Advisories met betrekking tot de Oracle Critical Patch Update (CPU) voor juli, die met 276 patches een recordomvang had. Ook het aantal bedreigingen voor oplossingen van Oracle blijft toenemen. Kwetsbaarheden in de beveiliging van SAP en Oracle maken aanvallen op basis van cross-site scripting en clickjacking mogelijk. Deze technieken richten zich ook op externe bezoekers van websites, zoals klanten en partners.
De kwetsbaarheden die Onapsis op 21 juli in samenwerking met SAP bekendmaakte, vertegenwoordigen potentiële risico’s voor ruim 10.000 klanten van SAP en gebruikers van uiteenlopende versies van SAP HANA. Dit omvat onder meer een kritieke kwetsbaarheid in SAP HANA-systemen die cybercriminelen in staat stelt om met een brute force-aanval meer toegangsrechten te verkrijgen. Op deze manier kunnen ze onbeperkte toegang krijgen tot bedrijfsgegevens. Andere kwetsbaarheden stellen aanvallers in staat om de inhoud van audit logs te manipuleren, hun aanvallen te camoufleren en bestanden op te vragen en te wijzigen. De Security Notes van SAP voor de maand juli wijzen op nieuwe kritieke kwetsbaarheden die kunnen worden misbruikt voor denial of service-aanvallen op SAP Solution Manager en SAP Sybase.
Problemen rond SAP HANA
SAP HANA, een kerncomponent van het cloud-aanbod van SAP, is een geavanceerd database- en applicatieplatform. Gebruikers kunnen hiermee transacties uitvoeren, voorspellende analyses loslaten op data en tekstuele of geospatiale gegevens analyseren en verwerken. Dit stelt bedrijven in staat om in real time actie te ondernemen. De als kritiek aangemerkte kwetsbaarheden in SAP HANA stellen cyberaanvallers in staat om toegang te krijgen tot bedrijfskritische gegevens zoals informatie over klanten en werknemers, prijsberekeningen, informatie over de toevoerketen, business intelligence, budgetten, planningen en prognoses.
“Alleen de beveiligingsmeldingen die we op 21 juli aan onze klanten verstrekten beschrijven risico’s van unieke aard. Veel bedrijven onderschatten namelijk de mate waarin aanvallers misbruik kunnen maken van gaten in de beveiliging, omdat het niet altijd even duidelijk is hoe een technische kwetsbaarheid uitpakt”, zegt Sebastian Bortnik, hoofd Research bij Onapsis. “De schade kan ook verborgen blijven. Een van de kritieke kwetsbaarheden genereert bijvoorbeeld een foutmelding die aanvallers voorziet van gevoelige informatie over de betrokken omgeving, de gebruiker of de gegevens die in deze omgeving liggen opgeslagen.”
Clickjacking
Een nieuwe aanvalstechniek die op SAP-omgevingen is gericht, is clickjacking. Hierbij worden websites gemanipuleerd, zodat bezoekers tijdens het navigeren op verborgen links of knoppen klikken in plaats van de menu-items die zij denken te selecteren. Klanten en partners die de website bezoeken voeren daarmee ongewenste acties op hun computer uit.
Problemen rond Oracle
Ook kijkende naar de patches die in de Oracle Critical Patch Update voor juli 2016 beschikbaar werden gesteld, stelt Onapsis een toename van de beveiligingsrisico’s vast. Het aantal patches ligt met 276 twee keer zo hoog als in de laatste update van april 2016. Onder de updates voor juli bevinden zich 15 kwetsbaarheden die Onapsis Research Lab bij de softwarefabrikant heeft gemeld en inmiddels zijn opgelost. Deze kwetsbaarheden hadden betrekking op 49 producten van Oracle. Bijzonder verontrustend is dat bijna 60 procent van alle kwetsbaarheden op afstand kan worden misbruikt. Aanvallers kunnen hierdoor in potentie toegang krijgen tot elke computer binnen het bedrijfsnetwerk. Elf van de kwetsbaarheden in Oracle E-Business Suite die door Onapsis Research Labs werden gemeld maken cross-site scripting mogelijk. Dit houdt in dat aanvallers bezoekers met kwaadaardige code kunnen besmetten.
De ervaren experts in SAP-beveiliging van Onapsis Research Labs publiceren technische analyses van kwetsbaarheden in combinatie met evaluaties van de mogelijke gevolgen voor bedrijven en uitgebreide beveiligingsinstructies. Onapsis Research Labs heeft sinds zijn oprichting ruim 300 kwetsbaarheden in SAP- en Oracle-applicaties gemeld en meer dan 150 Security Advisories gepubliceerd. Zo’n 35 van deze kwetsbaarheden hebben betrekking op SAP HANA. De experts van Onapsis Research Labs werken voor hun analyses nauw samen met de productbeveiligingsteams van SAP en Oracle.
De beveiligingsaanbevelingen van Onapsis Research Labs reiken technische informatie aan over kwetsbaarheden in combinatie met een evaluatie van de risico’s vanuit bedrijfseconomisch perspectief. Daarbij komen ook de betrokken componenten en hun specifieke invloed op bedrijfsprocessen aan bod. De Security Advisories bieden daarnaast instructies voor het verhelpen van kwetsbaarheden, zoals links naar patches en maatregelen voor het dichten van gaten in de beveiliging. De experts van Onapsis Research Labs treden regelmatig op als spreker tijdens belangrijke beveiligingscongressen en SAP-beurzen.
