Det tyske IT-sikkerhetsselskapet ESNC har offentliggjort detaljer om det som omtales som en kritisk sårbarhet i den PwC-utviklede programvaren ACE Software for SAP
Security (ACE-ABAP) Dette til tross for at revisjons- og rådgivningsgiganten PwC (PricewaterhouseCoopers) skal i et brev ha truet ESNC med søksmål dersom sikkerhetsselskapet gikk ut med detaljer om sårbarheten eller i det hele tatt kom med uttalelser om programvaren, offentlig eller til PwCs kunder.
Nettstedet ZDNet skal ha blitt vist brevet.
Bakdører og svindel
Ifølge sikkerhetsbulletinen om sårbarheten, åpner denne for fjernkjøring av vilkårlig kode og etablere bakdører i programvaren. Dette skal potensielt gjøre det mulig å begå svindel, blant annet fordi sårbarheten kan gjøre det mulig for uvedkommende å modifisere regnskapsdokumenter og finansielle resultater, samt å omgå restriksjoner innen arbeidsdeling.
Angrepene skal kunne utføres fra lokalnettet via SAPGui og fra internett via ulike webbaserte brukergrensesnitt, inkludert WebGui.
Sikkerhetsforskere ved ESNC skal ha møtt og fortalt PwC om sårbarheten i august. Selskapets policy for ansvarlig avsløring tilsier at PwC ville ha 90 dager på seg til å fjerne sårbarheten, før detaljene om denne ble offentliggjort.
Svarte med trussel
Da de ESNC-ansatte ikke hadde hørt noe mer fra PwC på to uker, tok de på nytt kontakt med selskapet. Først noen dager etter skal de ha fått respons, i form av et brev med trusler om søksmål dersom sårbarhetene ble avslørt. Et tilsvarende brev kom da ESNC opplyste PwC om at 90-dagersfristen hadde utløpt. Det fikk likevel ikke ESNC til å gi etter for truslene.
Overfor ZDNet har en talsperson for PwC via epost bekreftet både eksistensen av sårbarheten og at sårbarheten har blitt fjernet fra den aktuelle programvaren. Problemet ser mer ut til å ha vært knyttet til at ESNC ikke skulle ha hatt tilgang til programvaren, siden selskapet ikke er en lisensiert partner.
Hadde ikke lisens
– ESNC mottok ikke autorisert tilgang eller en lisens til å bruke denne programvaren. Programvaren er ikke offentlig tilgjengelig og kunne bare aksesseres av dem med lisenser, slik som PwC-klienter som samarbeider med opplært PwC-personale, skriver PwC-talspersonen i eposten ZDNet mottok.
Videre skriver talspersonen at sårbarheten ikke finnes i den oppdaterte versjonen som benyttes av klientene til selskapet, og at sikkerhetsbulletinen beskriver et hypotetisk og usannsynlig scenario.
Ifølge ESNC ble sårbarheten funnet i versjon 8.10.304 av ACE-ABAP.
I en epost til ZDNet skriver sjefen for ESNC, Ertunga Arsal, at selskapet han leder har blitt offentlig kreditert av både SAP og andre selskaper for å ha avslørt mer enn hundre sårbarheter til nå. Selskapet opplyser at det spesialiserer seg på sikkerhetstesting av SAP-systemer.
Dette var første gang selskapet har levert en sårbarhetsrapport til PwC, men også første gang selskapet har blitt møtt med juridiske trusler.
– Vi informerte PwC om sårbarhetene og hvordan den kunne bli brukt til å opprette en bakdør til SAP-adminkontoen til systemet, under et møte med deres eksperter. Vi ga dem tilstrekkelig tid til å patche sårbarheten og til å informere kundene, skriver Arsal.
Flere detaljer om sårbarheten finnes i en rapport som kan lastes ned via denne siden.
Ikke alene
PwC er langt ifra de eneste som ikke tar imot velmente sårbarhetsrapporter med åpne armer. Oracles sikkerhetssjef, Mary Ann Davidson, ba i 2014 en rekke kunder om å la være å bruke metoder som reverse engineering for å lete etter sårbarheter i selskapets programvare, siden dette er et brudd på lisensbetingelsene, til tross for at arbeidet som ble gjort kom Oracles og selskapets kunder til gode.
Dette førte til en rekke reaksjoner, før selskapet til slutt kunngjorde at dette budskapet ikke reflekterte selskapets synspunkter eller det ønskede forholdet til kundene.
