Kurumsal kaynak planlama (ERP) yazılımları, tüm dünyada son derece yaygın bir biçimde kullanılmaya devam ediyor. SAP firması, pazar payı bakımından bu konuda lider şirketlerden birisi. Ancak yapılan araştırmalar, SAP kullanıcılarının güvenlik güncelleştirmeleri konusunda gerekli hassasiyeti ortaya koymadığını gösteriyor. ERPScan firmasının teknolojiden sorumlu yöneticisi Alexander Polyakov, saldırıya ve istismara açık SAP sistemlerinin kaygı verici bir artış gösterdiğini söylüyor.
Yaklaşık 2 hafta kadar önce Singapur’da düzenlenen bir konferansta konuşan Polyakov; kimlik doğrulama eksikliği, dizinsel girdi doğrulama eksiklikleri (directory traversal) ve SQL enjeksiyon açıklarının SAP sistemlerinde bulunan tüm açıklar içinde %75 gibi son derece büyük bir orana sahip olduğunu söyledi. Geçtiğimiz yıl yapılan Black Hat güvenlik konferansının da önemli konuşmacılarından birisi olan ve siber güvenlik camiasında “@sh2kerr” lakabıyla da tanınan Polyakov, son dönemde SAP sistemlerini gerek ofis dışı çalışanlar gerekse de uzaktan yönetim nedeniyle uzaktan erişime açan şirket sayısının da giderek artığını ve bunun ciddi bir güvenlik riskini de beraberinde getirdiğini söylüyor.
Polyakov, sadece Shodan ve Google aramaları yardımıyla 4.000 adet internete açık SAP sistemi saptadığını söylerken, bir hackerın SAP sistemine sızması halinde İK verilerinden tutun da finansal verilere ve şirket sırlarına dek pek çok önemli veriye erişim sağlayabileceğine dikkat çekiyor. Polyakov, hackerların SCADA sistemlerine bile sızabildikleri böyle bir senaryonun herhangi bir şirket için aslında ölüm fermanı anlamına geldiğini söylüyor.
Polyakov’un bir başka ilginç analiziyse, ya SAP kullanıcılarının tembel olmaları ya da güncellemelerin karmaşık olması sebebiyle pek çok SAP sisteminde doğru düzgün güvenlik güncellemesi yapılmaması. Polyakov, yaptıkları analizlerde SAP güvenlik açığı saptanan şirketlerin %35’inin 2005’ten beri güncellenmeyen NetWeaver 7 EHP 0 sürümünü kullandıklarını görmüş. Polyakov, aynı çalışmada güvenlik açığı bulunan şirketlerin %19’unun 2009 yılında beri güncellenmeyen, %23’ünün ise 2010’dan beri güncellenmeyen versiyonlar kullandığını açıklamakta.
Kaynak : 