עד 50 אלף חברות שהטמיעו סאפ "חשופות בסיכון גבוה לפריצה"

עד 50 אלף חברות שמריצות תוכנות של סאפ נמצאות בסיכון גבוה לפריצה למערכות ה-IT שלהן – כך על פי מומחי אבטחה, שמסרו כי מצאו דרכים חדשות לנצל פגיעויות של מערכות סאפ שאין להן הגנה ראויה.

ענקית התוכנה הגרמנית מסרה כי היא הנפיקה הנחיות כיצד לערוך נכון תצורה להגדרות האבטחה שבמערכות – הגדרות שהותקנו בין השנים 2009 ל-2013. אולם, נתונים שאספה חברת האבטחה Onapsis מעלים כי 90% ממערכות הסאפ שעלולות להיות מושפעות מפגיעויות רלוונטיות לא מוגנות כראוי. מומחה אבטחה ציין שהבעיה טמונה בדרך שבה יישומי סאפ "מדברים" זה עם זה. כך, לדבריו, אם הגדרות האבטחה של החברה לא מוגדרות כראוי, האקר יכול להטעות יישום "לחשוב" שהוא מוצר נוסף של סאפ – ולהשיג גישה מלאה למערכת, בלי צורך באישורי גישה.

"ככלל, מערכות IT של חברה עלולות לשבות בתוך שניות", אמר מריאנו נונז, מנכ"ל Onapsis, המתמחה באבטחת יישומים עסקיים כגון אלה של סאפ ואורקל, יריבתה. "ניצול הפרצות הללו יכול להביא למצב שבו האקר גונב כל דבר שיושב על מערכות הסאפ של החברה. בנוסף, הוא עלול לשנות כל מידע שיושב עליהן לטובת ביצוע הונאות כספיות או משיכות כספים, או פשוט לחבל ולשבש את פעילות המערכות".

מסאפ נמסר כי החברה "מודעת לדיווחים האחרונים על פגיעויות בשער הכניסה ובשרת המסרים שלנו. אולם, הוצאנו להן טלאים כבר לפני מספר שנים – ב-2009 וב-2013. הטלאים הללו, שמספריהם 821875, 1408081 ו-1421005, יגנו על הלקוחות מפניהן. כתמיד, אנחנו מייעצים בחום ללקוחותינו להתקין את הטלאים האלה מיד ולהבטיח תצורה מאובטחת של סביבת הסאפ שלהם".

בחברה ציינו כי הם "לוקחים את האבטחה של הנתונים של הלקוחות שלנו באופן רציני, עם תוכנות בטוחות ואמינות. אנחנו מבססים את תהליך הפיתוח שלנו על אסטרטגיית אבטחה כוללת – הימנעות, זיהוי ותגובה – לרוחב הארגון, שמתבססת על אימונים, כלים ותהליכים, על מנת לאפשר לנו להציע מוצרים ושירותים מאובטחים".

10KBLAZE

תוכנת סאפ משמשת ביותר מ-90% מ-2,000 החברות המובילות בעולם לניהול של כל דבר – החל משכר עובדים ועד הפצת מוצרים ותהליכים תעשייתיים. מומחי אבטחה אמרו כי מתקפות על מערכות שכאלה עלולות להיות מזיקות מאוד, הן על הארגונים שהם קורבן המתקפה והן על שרשרת האספקה הרחבה שלהם. הארגונים שהם לקוחות סאפ מחלקים יחדיו 78% מהמזון העולמי ו-82% מהמכשירים הרפואיים הגלובליים, כך לפי אתר החברה.

חוקרי Onapsis כינו את הפרצות 10KBLAZE, בשל האיום שהן מציבות ל-"אפליקציות קריטיות לעסק", שאם הן נפרצות, עלולות לגרום ל-"הצגה מוטעית מהותית" בדיווחים הכספיים של החברות הנפגעות לרשויות.

סוגיית האיומים על מערכות ה-ERP מטבע הדברים איננה חדשה, ולפני כתשעה חודשים התריע המשרד האמריקני להגנת המולדת (DHS) על עלייה דרמטית במתקפות סייבר עליהן. המשרד מצא כ-9,000 פגיעויות בכ-17 אלף אפליקציות של אורקל וסאפ, שמוטמעות במערכות ERP של ארגונים אמריקניים ממגזרי תעשייה שונים. אנשי Onapsis, כמו גם עמיתיהם מ-DigitalShadows- חברת אבטחה נוספת, דיווחו אז כי בשלוש השנים הקודמות לפרסום חלה עלייה של 100% במספר הפרצות הידועות לציבור (ובהכרח גם להאקרים) במערכות ה-ERP של אורקל וסאפ.

עוד יצוין כי ב-2016 הזהיר ה-US-CERT – המרכז האמריקני למוכנות וצוות התגובות לאירועי מחשוב וסייבר – מפני פגיעות ישנה במערכות ה-ERP של סאפ, שההאקרים מנסים לנצל אותה. כתוצאה מניצול הפגיעות, צוין בדו"ח שהוציא אז המרכז, "השחקנים הרעים הרחיבו את הטקטיקות, הטכניקות והנהלים שלהם, ועשו זאת במיוחד על מנת להתמקד ביישומי ERP. כך, לדוגמה, קבוצות של האקטיביסטים, כגון אלה המזוהות או הפועלות בשיתוף פעולה עם אנונימוס, ערכו יותר מתשע מתקפות ממוקדות על פלטפורמות ERP מאז 2013, מתוך כוונה לחדור אליהן ולשבש את פעולתן".