SAP Hana heeft probleem met encryptie
Het probleem met de encryptiesleutels van SAP Hana kwam gisteren aan het licht bij de presentatie van een onderzoeker van ERPscan op de Black Hat Sessions XIII in Ede. Dit evenement wordt deze week al weer voor de 13e keer georganiseerd door Madison Gurkha.
Shutterstock
Shutterstock
Alexander Polyakov, CTO van ERPscan wees er op dat SAP Hana standaard dezelfde encryptiesleutel gebruikt voor het versleutelen van inloggegevens en root keys op alle installaties. Dat maakt het voor kwaadwillende wel erg makkelijk toegang te krijgen tot deze gegevens en daarmee tot aal data in het systeem. De standaard sleutel wordt alleen vervangen door een andere wanneer de administrator daar voor actie onderneemt. In praktijk blijkt dat vrijwel nergens te gebeuren, concludeerde Polyakov uit een aantal penetratietests.
Hetzelfde probleem doet zich voor bij SAP's mobiele platform waarbij het configuratiebestand altijd met dezelfde sleutel wordt beveiligd.
ERPscan is een IT-beveiliger die zich specifiek richt op het aanbod aan Enterprise Resource Planning (ERP)-software. Het bedrijf bracht al eerder kwetsbaarheden in SAP Hana aan het licht.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee