Managed hosting door True

Expert meldt encryptie-lek in SAP Hana

 

Beveiligingsexpert Alexander Polyakov, cto van het beveiligingsbedrijf ERPScan, meldt een beveiligingslek in de nieuwe versie van de erp-suite SAP Hana. Volgens Polyakov kunnen aanvallers via universele standaard keys de versleutelde wachtwoorden van de log-in ontsleutelen en zo toegang krijgen tot alle onderdelen en data van het in-memory databasesysteem.

Hij presenteerde het lek donderdag 18 juni 2015 tijdens het evenement Black Hat Sessions XIII in Ede. Volgens de beveiligingsexpert bestaat de kwetsbaarheid doordat gebruikerswachtwoorden en root keys binnen Hana met standaard encryptiesleutels worden opgeslagen. 'Dat geeft hackers relatief eenvoudig toegang. De sleutel is voor iedere installatie hetzelfde tenzij de beheerder dit verandert heeft. Wij hebben tijdens penetratietesten ontdekt dat vrijwel niemand deze sleutel wijzigt', zei Polyakov. Volgens hem kampt mobiele SAP-platform met hetzelfde euvel.

Volgens officiële richtlijnen van SAP wordt overigens aangeraden de statische masterkeys van producten altijd te veranderen, maar kennelijk laten beheerders dit na. De securityspecialist merkt op dat SAP deze kwetsbaarheid en ook eerdere SQL-injectie zwakke plekken nog niet gepatcht heeft.

Service Pack 10

SAP bracht begin deze week een nieuwe versie van het platform uit. Service Pack 10 heeft onder andere functionaliteiten die het pakket beter schaalbaar moeten maken.

Ook zijn toepassingen toegevoegd om databronnen op afstand te synchroniseren. Als ongeautoriseerde gebruikers toegang krijgen tot het systeem kunnen ze ook toegang krijgen tot die bedrijfsinformatie.

ERPScan test de beveiliging van ERP-software van SAP en Oracle. In 2014 ontdekte het dat SAP HANA-installaties kwetsbaar waren voor SQL-aanvallen.

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/5416785). © Jaarbeurs IT Media.

?


Lees meer over


 

Reacties

Mitigatie:
1. Change the Root Key of the Internal Data Encryption Service
= http://tinyurl.com/petzs48
2. Change the SSFS Master Key
= http://preview.tinyurl.com/pp59rap
3. Change the Secure User Store Encryption Key
= http://tinyurl.com/pp59rap

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×