Managed hosting door True

SAP dicht drie gaten in SAP Mobile

 

Bedrijfssoftwareleverancier SAP heeft drie kwetsbaarheden aangepast in SAP Mobile. Dat meldt beveiligingsexpert Onapsis. Volgens de beveiliger gaat het om kwetsbaarheden die een hoog risico vormen en waardoor cybercriminelen toegang kunnen krijgen tot vertrouwelijke bedrijfsgegevens.

Volgens de beveiliger stelden de lekken onbevoegden in staat om gevoelige configuratiewaarden van zakelijke SAP-applicaties te ontsleutelen en te wijzigen. 'Afhankelijk van de manier waarop organisaties dit platform inzetten, zouden cybercriminelen de kwetsbaarheden kunnen misbruiken om toegang te krijgen tot bedrijfskritische informatie zoals klantengegevens, productprijzen, financiële verslagen, werknemersgegevens, toevoerketens, business intelligence, budgetten, planningen en prognoses.'

Tot de drie ontdekte kwetsbaarheden in SAP Mobile Platform Datavault-API behoort de functionaliteit 'keystream recovery'. Die zou aanvallers toegang bieden tot kwetsbare mobiele apparaten, zodat ze aanmeldingsgegevens en andere gevoelige informatie van de gebruiker kunnen ontsleutelen. 'Met behulp van deze gegevens kunnen ze een verbinding maken met andere bedrijfssystemen om toegang tot aanvullende bedrijfsinformatie te krijgen', aldus de onderzoekers. 

De tweede kwetsbaarheid zit in de voorspelbare encryptiewachtwoorden voor configuratie-waarden. Volgens de beveiliger biedt dat aanvallers toegang tot kwetsbare mobiele apparaten, zodat ze gevoelige configuratiewaarden van zakelijke SAP-applicaties kunnen ontsleutelen en wijzigen. 'Dit maakt een brede reeks van bedrijfsapplicaties vatbaar voor aanvallen.'

 

Encryptie

Verder boden voorspelbare encryptiewachtwoorden voor opgeslagen gegevens de aanvallers toegang tot kwetsbare mobiele apparaten. 'Zo kunnen die criminelen gevoelige informatie raadplegen, inclusief versleutelde aanmeldingsgegevens die op het mobiele apparaat zijn opgeslagen. Aan de hand van die informatie kunnen ze een verbinding maken met bedrijfsapplicaties en bedrijfsgegevens opvragen of wijzigen', aldus de experts.

Organisaties gebruiken SAP Mobile voor het ontwikkelen en implementeren van applicaties. 'Daardoor kunnen bij onvoldoende beveiliging duizenden gebruikers mogelijk via de mobiele apparatuur van belangrijke leveranciers als Apple, Samsung, Google en Microsoft toegang krijgen tot bedrijfskritische SAP-systemen', aldus Onapsis in een toelichting.

SAP heeft begin augustus 2015 een beveiligings-update uitgebracht voor het dichten van de kwetsbaarheden. Op donderdag 10 september 2015 organiseert Onapsis een webcast over deze kwetsbaarheden.

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/5538229). © Jaarbeurs IT Media.

?


Lees meer over



Lees ook


 
Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×