Quase todas as instalaçÔes do SAP apresentam falhas de segurança

A SAP foi fundada em 1972 e é fornecedora líder de soluçÔes e aplicativos de software comercial. De acordo com a capitalização de mercado total, a SAP é a terceira maior fabricante de software do mundo, com mais de 230.000 clientes em mais de 180 países.

Mas aqui estão as mås notícias.SAP de segurança

Um impressionante 95% dos aplicativos de software de negĂłcios da SAP contĂȘm vulnerabilidades de alta severidade que podem permitir seu comprometimento, relatam os pesquisadores.

Pesquisadores da empresa de segurança Onapsis dizem que os atacantes podem direcionar todas as instalaçÔes do SAP, executar comandos com privilégios de administrador e criar backdoors J2EE.

Mariano Nunez, CEO da Onapsis, diz que os 250.000 clientes da SAP foram expostos a uma mĂ©dia de 18 meses desde que as vulnerabilidades foram descobertas, pois a SAP precisa de cerca de 12 meses para desenvolver um patch que “os conserte”.

“A verdade Ă© que a maioria dos patches aplicados nĂŁo tem relação com a segurança, eles chegam atrasados ​​ou introduzem um cĂłdigo que garante outros riscos”.

A empresa de Boston descobriu que a SAP lançou 391 patches nos Ășltimos anos, metade dos quais foi destacada como alta prioridade.

Para toda essa situação, Nunez critica parcialmente o recurso SAP HANA, que ele diz ser responsĂĄvel por um aumento de 450% no nĂșmero de patches de segurança.

“Essa tendĂȘncia nĂŁo apenas nĂŁo continua, mas Ă© exacerbada pelo SAP HANA., Localizado no centro do ecossistema SAP, onde os dados sĂŁo armazenados nas plataformas SAP”.

As piores das vulnerabilidades descobertas tĂȘm um nĂ­vel de seriedade de 9,5 em aplicativos importantes, como SAP SQL Anywhere e Sybase ESP.

“NĂŁo estamos falando apenas sobre o nĂșmero de vulnerabilidades, que sĂŁo bastante grandes, mas tambĂ©m sobre a crĂ­tica”, diz Alexander Polyakov, fundador do ERPScan.

RelatĂłrios Polyakov:

“Se os desenvolvedores experientes de SAP ainda podem deixar esses erros em seu cĂłdigo, imagine o que acontece com os programas personalizados da SAP, e especialmente aqueles atribuĂ­dos a outras empresas. A intensa concorrĂȘncia entre empresas de terceirização leva a uma redução no tempo e nos recursos de crescimento, o que geralmente afeta a segurança. ”

Polyakov publicou documentos detalhando as vulnerabilidades do SAP, diretrizes para testes de penetração e defesas.

Veja os whitepapers