Eksperter finder sårbarhed i fejl-konfigurerede SAP-systemer: 50.000 virksomheder kan være i farezonen

Sikkerhedsforskere har fundet en sårbarhed, der gør det muligt at hacke fejlkonfigurerede SAP-systemer. ’Venner, det her er kritisk, I bliver nødt til at fikse det,” lyder det fra en af forskerne.

Artikel top billede

Op mod 50.000 virksomheder kan være ramt af en sårbarhed i software fra den tyske ERP-gigant SAP.

Det skriver nyhedsbureauet Reuters efter, at sikkerhedsforskere har fundet nye metoder, der gør det muligt at udnytte sårbarheder i fejl-konfigurerede SAP-systemer.

Sårbarheden, der har fået navnet 10KBlaze, indebærer ifølge Reuters at en hacker kan manipulere en applikation til at tro, at den kommunikerer med en anden SAP-applikation. Dermed kan hackerne få fuld adgang til systemerne uden brug af login-oplysninger.

Læs også: Skal du flytte dit ERP i clouden? Mange bekymrer sig over compliance og håndtering af følsomme data

Udsendte vejledninger for 10 år siden

Det er dog kun SAP-software, der ikke er konfigureret korrekt, som er i farezonen.

SAP oplyser til Reuters, at selskabet allerede tilbage i 2009 og 2013 udsendte vejledninger, der instruerer kunderne i at konfigurere systemerne korrekt og dermed beskytte sig selv mod sårbarheden.

Selvom SAP allerede udsendte de første vejledninger for 10 år siden, så er det dog langt fra sikkert, at alle SAP-kunder har installeret alle opdateringer til systemerne eller konfigureret dem korrekt, vurderer Mathieu Geli, der er sikkerhedsanalytiker hos it-selskabet Sogeti og som er en af de forskere, som var med til at identificere sårbarheden.

”Vi pointerer noget, som SAP allerede har rettet op på, men nogle klienter kan være sent på den. Vi prøver derfor at skubbe på og sige: ’Venner, det her er kritisk, I bliver nødt til at fikse det,” siger Mathieu Geli fra Sogeti til Reuters.

Kan få katastrofale følger

Software fra SAP bliver brugt i 90 procent af verdens 2.000 største selskaber.

Sikkerhedseksperter oplyser til Reuters, at det kan få katastrofale følger for både den enkelte virksomhed og hele virksomhedens supply-chain, hvis et selskabet får kompromitteret denne type forretningskritiske it-systemer.

”Med disse sårbarheder kan en hacker stjæle alt, der er lagret i et selskabs SAP-system, og hackerne kan også ændre oplysninger i systemerne på en måde, der gør muligt at foretage finansiel svindel, trække penge ud eller blot sabotere systemerne,” siger Mariano Nunez, chef for sikkerhedsselskabet Onapsis til Reuters.

SAP har efter publiceringen af artiklen oplyst til Computerworld, at selskabets sikkerhedsanbefalinger kan findes i dette whitepaper.

Læs også: “Hackerne hacker ikke – de logger ind”: Her er de tre største it-sikkerhedstrusler, du skal være opmærksom på

Læses lige nu

    Annonceindlæg fra Barco

    Sådan er teknologi og design med til at skabe vellykkede hybridmøder

    Måden vi mødes på har ændret sig. Så hvorfor ser vores mødelokaler stadig ens ud?

    Navnenyt fra it-Danmark

    Den danske eID-virksomhed Idura har pr. 1. april 2026 ansat Kari Lehtimäki som Country Manager. Han skal især beskæftige sig med at styrke kendskabet til Iduras løsninger i Finland samt fremme samarbejdet med økosystemet omkring det finske Trust Network. Han kommer fra en stilling som Salgschef hos Telia Finland. Han er uddannet uddannet civilingeniør (M.Sc. Tech.) og medbringer ledelse, markedsindsigt og praktisk erfaring. Han har tidligere beskæftiget sig med salg og forretningsudvikling inden for Telias trust services-forretning. Nyt job

    Kari Lehtimäki

    Den danske eID-virksomhed Idura

    Netip A/S har pr. 1. maj 2026 ansat Michael Schou som Operations Manager ved netIP Aalborg og Aarhus. Han kommer fra en stilling som Senior Director - Head of IT hos BDO. Han har tidligere beskæftiget sig med flere områder indenfor IT-branchen, hvor han bla. også har drevet sin egen IT-virksomhed. Nyt job

    Michael Schou

    Netip A/S

    Elbek & Vejrup A/S har pr. 1. juni 2026 ansat Mikkel Bernt Buchvardt som AI Architect & Product Manager. Han skal især beskæftige sig med udviklingen af AI-Services og AI-Agenter i og omkring Business Central. Han kommer fra en stilling som Lead Data & Analytics hos IBM. Han er uddannet MSc. i softwareudvikling fra ITU. Han har tidligere beskæftiget sig med Data og BI hos KMD og Seges Innovation. Nyt job

    Mikkel Bernt Buchvardt

    Elbek & Vejrup A/S

    Pinksky ApS har pr. 1. maj 2026 ansat Jeppe Spanggaard, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med Digitalisering med Microsoft-platformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Nyt job

    Jeppe Spanggaard

    Pinksky ApS