Alexander Polyakov skulle denne uken avsløre kritiske sårbarheter i Afaria, som er SAPs løsning for drift og administrasjon eller flåtestyring av mobile enheter, melder The Register.
Nå er foredraget avlyst og trukket fra programmet på hackerkonferansen BlackHat Asia, som går av stabelen i Singapore torsdag og fredag.
Polyakov, som er gründer og teknologidirektør i sikkerhetsselskapet ERPScan, er en anerkjent sikkerhetsforsker som har skaffet seg et ry for å avsløre sårbarheter i forretningsapplikasjoner fra blant annet SAP og Oracle.
Denne gangen dreier det om flere sårbarheter, blant annet i SAP Afaria. Polyakov skal ha informert programvaregiganten om sine funn for 12 måneder siden.
Mer om Afaria: SAP kan styre ansattes mobiler og brett fra nettskyen
Gir SAP mer tid
Sikkerhetsforskeren har valgt ikke å røpe detaljer, på tross av at han har fulgt vanlig kutyme for såkalt ansvarlig varsling. Etter en slik hackeretikk kunne han ha gått ut med opplysningene nå, men velger i stedet å gi leverandøren mer tid.
Han mener en avsløring nå ville utsatt SAPs bedriftskunder for risiko.
- Vi kan ikke holde foredraget, fordi de (SAP) ikke har lykkes med å fikse enkelte forhold. Sårbarhetene er nokså farlige og de er ikke enkle å rette, sier sikkerhetsforskeren til The Register.
Sårbarhetene skal ha knyttet seg til en feil som angivelig kan gi angripere kontroll med mobile enheter som administreres i løsningen.
Falske pasientdata
ERPScan beskriver i alt seks kritiske sårbarheter de har funnet, som SAP skal ha rettet i en sikkerhetsoppdatering med lappesaker for mars, blant annet en buffer overflytsfeil i Sap Afaria, og en feil i SAP SQL Anywhere som kan utnyttes ved tjenestenektangrep.
SAP har på sin side gitt forskerne anerkjennelse for disse bidragene. Det er likevel uklart om listen er uttømmende, og omfatter alle forhold Polyakovs kolleger hadde til hensikt å prate om under BlackHat-konferansen.
Fordraget som er avlyst var opprinnelig satt opp med tittelen «Attacking SAP Mobil».
26-27-March-2015 talk on BlackHat Asia “Attacking SAP Mobile” by Vahagn Vardanyan & Dmitry Chastuhin http://t.co/9zRSMfzfiw
— erpscan (@erpscan) February 17, 2015
Planen var også å beskrive sviktende rutiner knyttet til patching av en annen kritisk feil i SAPs EMR Unwired (Electronic Medical Records), en mobilapplikasjon knyttet mot kliniske fagsystemer, som gir leger og sykepleiere tilgang til pasientdata, inkludert labresultater og røntgenbilder.
SAP skal nylig ha rettet to alvorlige feil i denne appen. En av disse åpnet for at en angriper kunne ha lastet opp forfalskede pasientdata, skrev amerikanske pcworld.com i helgen.