Onapsis identificeert drie ernstige kwetsbaarheden in SAP Mobile

Onapsis, leverancier van een beveiligingsoplossing voor de beveiliging van bedrijfskritische applicaties, publiceert drie nieuwe beveiligingsadviezen die waarschuwen voor ernstige kwetsbaarheden in SAP Mobile. Deze kwetsbaarheden worden als ‘hoog risico’ aangeduid en zouden kunnen door cybercriminelen kunnen worden gebruikt om toegang te krijgen tot vertrouwelijke bedrijfsgegevens van organisaties die gebruikmaken van SAP Mobile.

Organisaties gebruiken SAP Mobile voor het ontwikkelen en implementeren van applicaties waarmee ze duizenden gebruikers toegang kunnen bieden tot bedrijfskritische SAP-systemen via de mobiele apparatuur van leveranciers als Apple, Samsung, Google en Microsoft. Afhankelijk van de manier waarop organisaties dit platform inzetten, zouden cybercriminelen deze kwetsbaarheden kunnen misbruiken om toegang te krijgen tot bedrijfskritische informatie zoals klantengegevens, productprijzen, financiële verslagen, werknemersgegevens, toevoerketens, business intelligence, budgetten, planningen en prognoses.

Adviezen
De adviezen identificeren drie belangrijke kwetsbaarheden in SAP Mobile Platform Datavault:

1. Keystream Recovery:
Biedt aanvallers toegang tot kwetsbare mobiele apparaten, zodat ze aanmeldingsgegevens en andere gevoelige informatie van de gebruiker kunnen ontsleutelen. Met behulp van deze gegevens kunnen ze een verbinding maken met andere bedrijfssystemen om toegang tot aanvullende bedrijfsinformatie te krijgen.

2. Voorspelbare encryptiewachtwoorden voor configuratiewaarden:
Biedt aanvallers toegang tot kwetsbare mobiele apparaten, zodat ze gevoelige configuratiewaarden van zakelijke SAP-applicaties kunnen ontsleutelen en wijzigen. Dit maakt een brede reeks van bedrijfsapplicaties vatbaar voor aanvallen.

3. Voorspelbare encryptiewachtwoorden voor opgeslagen gegevens:
Biedt aanvallers toegang tot kwetsbare mobiele apparaten, zodat ze gevoelige informatie kunnen raadplegen, inclusief versleutelde aanmeldingsgegevens die op het mobiele apparaat zijn opgeslagen. Aan de hand van deze informatie kunnen ze een verbinding maken met bedrijfsapplicaties en bedrijfsgegevens opvragen of wijzigen.

SAP heeft er recentelijk een security fix uitgebracht voor de drie beveiligingsgaten. De kwetsbaarheden kunnen door cybercriminelen worden misbruikt om versleutelde informatie op mobiele apparaten te bemachtigen, zoals aanmeldingsgegevens voor systemen van SAP waarin organisaties zeer gevoelige bedrijfsinformatie opslaan.

Vertrouwelijke gegevens
“De georganiseerde misdaad en door overheden gesteunde hackers richten hun pijlen steeds vaker op de bedrijfsapplicaties van SAP, omdat organisaties daar hun meest vertrouwelijke gegevens in opslaan. Voor bedrijven is het daarom van cruciaal belang om proactieve maatregelen te nemen om hun SAP-systemen te beschermen. Uit een recent onderzoek door ons onderzoekslaboratorium blijkt dat meer dan 95% van alle geanalyseerde SAP-systemen kwetsbaarheden bevatten die de bedrijfsprocessen en –gegevens van de organisatie in kwestie blootstellen aan risico’s. Daarnaast halen steeds meer gevallen van misbruik van beveiligingslekken in SAP-systemen het nieuws. Het is dan ook van cruciaal belang dat SAP-beveiligingsteams nauw samenwerken met informatiebeveiligingsteams om een oplossing te bieden voor dit groeiende probleem”, aldus Ezequiel Gutesman, directeur Research bij Onapsis.