Het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT) heeft een waarschuwing voor een zes jaar oud beveiligingslek in SAP afgegeven waardoor al 36 bedrijven wereldwijd zijn aangevallen. De aanvallers maken gebruik van een functie in SAP Java-platformen.

De kwetsbaarheid in deze functie werd in 2010 door SAP gepatcht. Het beveiligingslek blijft echter een probleem voor verouderde en verkeerd geconfigureerde SAP-systemen, aldus US-CERT. Veel zakelijke SAP-applicaties draaien op SAP Java-platformen, waaronder SAP Enterprise Resource Planning, SAP NetWeaver en SAP Supply Chain Management. "De kwetsbaarheid bevindt zich in de SAP-applicatielaag, het staat dus los van het besturingssysteem en de database-applicatie die het SAP-systeem ondersteunt", zo laat de waarschuwing weten.

Via de kwetsbaarheid kan een aanvaller op afstand volledige toegang tot het SAP-platform krijgen. Daarmee heeft de aanvaller niet alleen de controle over de zakelijke informatie en processen op deze systemen, maar kan er ook toegang tot andere systemen worden verkregen. Volgens beveiligingsbedrijf Onapsis, dat de aanvallen ontdekte, zijn bedrijven in de Verenigde Staten, Groot-Brittannië, Duitsland, China, India, Japan en Zuid-Korea getroffen. Het gaat om bedrijven in de olie- en gassector, telecomaanbieders, nutsbedrijven, autofabrikanten en staalfabrikanten. US-CERT adviseert organisaties om de SAP-update uit te voeren en de kwetsbare functie uit te schakelen.