Beveiligingsbedrijf Onapsis deed onderzoek en ontdekte dat de kwetsbaarheid nog steeds te misbruiken is omdat er nog steeds veel kwetsbare versies van oudere platforms draaien. US-CERT heeft op basis daarvan een advisory uitgebracht, pas zijn derde dit jaar.

Moderne SAP-software is niet kwetsbaar, maar bedrijfssoftware van vijf jaar geleden of ouder draait nog bij diverse multinationals, zo blijkt uit het onderzoek. Mede om achterwaarts compatibel te blijven, is kwetsbare software nog op grote schaal actief. Aanvallers kunnen een oudere Java-applicatie binnen de SAP-omgeving van een organisatie op de korrel nemen om in te breken.

Klanten blijken bovendien eenvoudige toegang te prioriteren boven beveiligingsmaatregelen, waardoor de patch in veelvoorkomende configuraties het lek niet dicht. SAP raadt aan om exploitatie te voorkomen door de Invoker Servlet uit te schakelen.