Onderzoeker Alexander Polyakov van ERPScan zegt servers met vanaf internet toegankelijke SAP-applicaties te hebben ontdekt die oude en kwetsbare versies draaien. Hij heeft via Google en de gespecialiseerde zoekmachine Shodan respectievelijk 700 en 3741 servers ontdekt.

Versies uit 2005, 2008, 2010

Hierbij bleek 35 procent van die systemen NetWeaver te draaien en wel versie 7 EHP 0 dat voor het laatst is geüpdatet in november 2005, schrijft het Australische SC Magazine. Andere cijfers: 23 procent draaide een versie die het laatst is geüpdatet in april 2010 en 19 procent had een versie die niet meer was gepatcht sinds oktober 2008.

De onderzoeksresultaten worden volgende maand gepresenteerd, maar Polyakov gaf een demonstratie op de RSA Conference Asia Pacific. Volgens de onderzoeker heeft een op de drie bedrijven SAP-routers via het internet toegankelijk staan op een default poort. Daarnaast bleken er versies te draaien op servers van SAP NetWeaver J2EE (Java 2 Enterprise Edition). Die software heeft gaten in belangrijke services die aanvallers de mogelijkheid geven zonder authenticatie gebruikers en gebruikersrollen aan te maken en opdrachten te geven.

Managementconsole overnemen

Van de gevonden routers had 15 procent geen toegangscontrolelijst, waardoor aanvallers vioa de router toegang kunnen krijgen tot het interne netwerk, zegt Polyakov. Van een op de 40 organisaties kon de managementconsole van buitenaf worden gebruikt waardoor SAP-systemen zijn over te nemen, claimt de onderzoeker. In de demonstratie op de RSA Conference Asia Pacific toonde hij vijf kwetsbaarheden.