Sikkerhetsforskere dropper denne ukens planlagte avsløring av kritiske sårbarheter i SAP, for å gi leverandøren bedre tid på å rette opp. (Fotofikling: digi.no)

SAP MOBIL

Planla å avsløre kritiske SAP-sårbarheter

Blackhat-foredrag trukket i tolvte time.

Alexander Polyakov skulle denne uken avsløre kritiske sårbarheter i Afaria, som er SAPs løsning for drift og administrasjon eller flåtestyring av mobile enheter, melder The Register.

Nå er foredraget avlyst og trukket fra programmet på hackerkonferansen BlackHat Asia, som går av stabelen i Singapore torsdag og fredag.

Polyakov, som er gründer og teknologidirektør i sikkerhetsselskapet ERPScan, er en anerkjent sikkerhetsforsker som har skaffet seg et ry for å avsløre sårbarheter i forretningsapplikasjoner fra blant annet SAP og Oracle.

Denne gangen dreier det om flere sårbarheter, blant annet i SAP Afaria. Polyakov skal ha informert programvaregiganten om sine funn for 12 måneder siden.

Mer om Afaria: SAP kan styre ansattes mobiler og brett fra nettskyen

Gir SAP mer tid

Sikkerhetsforskeren har valgt ikke å røpe detaljer, på tross av at han har fulgt vanlig kutyme for såkalt ansvarlig varsling. Etter en slik hackeretikk kunne han ha gått ut med opplysningene nå, men velger i stedet å gi leverandøren mer tid.

Han mener en avsløring nå ville utsatt SAPs bedriftskunder for risiko.

- Vi kan ikke holde foredraget, fordi de (SAP) ikke har lykkes med å fikse enkelte forhold. Sårbarhetene er nokså farlige og de er ikke enkle å rette, sier sikkerhetsforskeren til The Register.

Sårbarhetene skal ha knyttet seg til en feil som angivelig kan gi angripere kontroll med mobile enheter som administreres i løsningen.

Falske pasientdata

ERPScan beskriver i alt seks kritiske sårbarheter de har funnet, som SAP skal ha rettet i en sikkerhetsoppdatering med lappesaker for mars, blant annet en buffer overflytsfeil i Sap Afaria, og en feil i SAP SQL Anywhere som kan utnyttes ved tjenestenektangrep.

SAP har på sin side gitt forskerne anerkjennelse for disse bidragene. Det er likevel uklart om listen er uttømmende, og omfatter alle forhold Polyakovs kolleger hadde til hensikt å prate om under BlackHat-konferansen.

Fordraget som er avlyst var opprinnelig satt opp med tittelen «Attacking SAP Mobil».

Planen var også å beskrive sviktende rutiner knyttet til patching av en annen kritisk feil i SAPs EMR Unwired (Electronic Medical Records), en mobilapplikasjon knyttet mot kliniske fagsystemer, som gir leger og sykepleiere tilgang til pasientdata, inkludert labresultater og røntgenbilder.

SAP skal nylig ha rettet to alvorlige feil i denne appen. En av disse åpnet for at en angriper kunne ha lastet opp forfalskede pasientdata, skrev amerikanske pcworld.com i helgen.

Til toppen