O software SAP NetWeaver possui uma "vulnerabilidade crítica" que permite a um invasor mal intencionado acessar dados sigilosos do sistema apenas por um computador conectado à internet. Foi o que revelou a empresa de segurança ERPScan durante uma conferência sobre segurança em Las Vegas nesta quinta-feira, 4.
O especialista em segurança e CTO da ERPScan, Alexander Polyakov, demonstrou que é possível contornar as checagens de autorização do sistema da SAP ao criar um usuário no grupo de administradores por meio de duas solicitações ao sistema sem a necessidade de senhas.
Para comprovar a falha de segurança, os pesquisadores criaram um programa que detecta os servidores da SAP na internet com ajuda de palavras-chaves do Google, que procuram servidores com riscos de segurança. Mais da metade dos servidores disponíveis demonstrou a vulnerabilidade.
Em comunicado enviado à TI Inside, a SAP informou que está trabalhando em conjunto com Alexander Polyakov para solucionar o problema. Segundo a empresa, em breve será disponibilizada uma correção do software para os clientes.
Os sistemas da SAP são usados em mais de 100 mil empresas, estando presentes em boa parte as empresas listadas no ranking 500 da Forbes.
- Vulnerabilidade