Har ni penetrationstestat ert affärssystem?

De flesta företag har ett affärssystem där det lagras stora mängder kritisk information. Det kan vara allt från kundinformation till affärshemligheter. Information som absolut inte får spridas vidare till en annan part. Trots det väljer få företag att utföra penetrationstest av sina affärssystem.

Sentors säkerhetskonsult gjorde en granskning av en kunds arkitektur och fann det möjligt att plantera en trojan hos kunden och därmed få full access till deras SAP-affärssystem. Han kunde exempelvis registrera sig som en konsult i deras system och fick på så vis tillgång till deras lokaler.

Det är uppenbart att affärssystem blir en allt tydligare måltavla för angripare. Speciellt välanvända affärssystem löper en större risk när angripare använder allt mer avancerade metoder.
Senast i raden av malware riktar sig mot SAP-användare. Detta malware kollar ifall systemet har en klientapplikation installerad men ingen attack exekveras. Istället tror man att de som konstruerat den skadliga koden ämnar utnyttja säkerhetsbristen i framtiden eller så vill de sälja ”de infekterade klienterna” till andra aktörer.

I många fall har klientapplikationerna som körs på arbetsstationerna konfigurationsfiler som innehåller IP-adresser för SAP-servrar som de ansluter till. Angripare kan också kapa applikationsprocesser och sniffa användarlösenord, eller läsa dessa från konfigurationsfiler.

En angripare som får tillgång till SAP-servrar kan göra nästintill vad som helst. De skulle kunna stjäla kundinformation, affärshemligheter, stjäla pengar från företaget genom att upprätta och godkänna oseriösa betalningar. Eller varför inte byta bankkonto för befintliga kunder så framtida utbetalningar omdirigeras till angriparens konto?

Eftersom det är komplext att implementera ett affärssystem som SAP slarvar många företag med säkerheten och låter klienterna ha större behörigheter än de borde ha. Dessutom glömmer många företag bort att byta ut admin-lösenord på vissa instanser av systemet.

SAP är inte det enda affärssystemet som har utsatts för trojaner. Senast i februari kom rapporter om att Zeus Banking Trojan hade siktat in sig på Microsofts affärssystem Salesforce.

Så vänta inte, pentesta ert affärssystem idag. Innan det är försent.

Mer om penetrationstest