Uppgraderade verktygstest SAP Säkerhet Svagheter

Sapyto, ett verktyg för att test säkerhetssystemet för SAP-system, har uppgraderats med nya plugins som tillåter mer noggrann testning, enligt verktyget.

Version 0.99 av Sapyto kör nu på datorer som kör Microsoft Windows där den tidigare versionen endast körde på Linux, sa Mariano Nuñez Di Croce, senior säkerhetsforskare med Cybsec Security Systems, ett säkerhetsföretag baserat i Buenos Aires, Argentina. Han presenterade förra veckan på Black Hats säkerhetskonferens i Amsterdam.

Den senaste versionen av Sapyto lägger till nya plugins som kan användas för att få information från avlägsna SAP-routrar och automatiskt upptäcka och sedan testa avlägsna SAP-system. Utvecklare kan också skapa egna plugins.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Tyska mjukvaruutvecklare SAP gör affärssystemssystem som hanterar försörjningskedjor, finansfrågor och kundrelationshanteringsuppgifter bland många andra saker. Företaget har mer än 40 000 kunder runt om i världen, och det finns mer än 120 000 SAP-implementeringar enligt Nuñez Di Croces presentation.

SAP-system har blivit riktade mot hackare och insiders som försöker skada ett företag eftersom mjukvaran innehåller värdefulla interna information. Incidenterna blir vanligtvis inte offentliga eftersom företagen inte avslöjar dem, sade Nuñez Di Croce. Men det händer. Nuñez Di Croce känner till ett fall för två år sedan där ett företag förlorade 250 000 US-dollar på grund av felaktigt manipulering av ett SAP-finanssystem.

Några finansdirektörer känner fortfarande inte till hur viktigt god säkerhet är på SAP-system, sade Nuñez Di Croce. Eftersom SAP-system är väldigt dyra och kontrollerar en stor mängd affärsprocesser, kommer cheferna att fortsätta med att sätta systemen i produktion utan en korrekt säkerhetsgranskning, sa han. Nuernez Di Croce visste om ett annat fall där en verkställande bestämde sig för att bara har öppen tillgång till ett SAP-system i tre månader. Det är farligt, och det är osannolikt att systemet efter tre månader skulle vara låst, sa han. Många SAP-system lämnas helt enkelt i standard säkerhetskonfigurationer, vilket också är osäkert, sa han.

"Säkerhet brukar ses som ett block i vägen" Nuñez Di Croce. "Det finns många SAP-system där ute av stora företag som inte är säkra."

Sapyto är öppen källkod och är gratis. Den kan laddas ner från Cybsecs webbplats. Version 0.98 finns på webbplatsen nu, och den nya versionen ska snart publiceras. Sapyto var det första penetrationstestnätverket byggt för SAP-programvara.