SAP-Leck erlaubt Hack auf US Investigations Services
Ein ungesicherter Server eines Dienstleisters öffnete den Weg für einen erfolgreichen Angriff auf das regierungsnahe Rechercheinstitut USIS. Über Monate hinweg konnten Hacker Informationen abgreifen.
Wenn Hacker einen erfolgreichen Angriff durchführen, merken die Opfer davon nur zu häufig nichts. Falls ein Angriff entdeckt wird, wird der aber dann unter den Teppich gekehrt. Daher sind Berichte über Angriffe – vor allem auf SAP-Systeme – sehr selten. Nun sind weitere Details zu einem Übergriff auf das regierungsnahen US-Rechercheinstituts US Investigations Services (USIS) über ein SAP-System öffentlich gemacht worden.
Der Angriff soll Ende 2013 stattgefunden haben. Die Hacker sollen mindestens über ein halbes Jahr hinweg sensible Informationen abgegriffen haben. USIS meldete erst im August 2014 den Übergriff.
Der Branchendienst Nextgov veröffentlicht aktuell Auszüge aus einem forensischen Gutachten von Stroz Friedberg, das von dem Institut in Auftrag gegeben wurde. “Der ursprüngliche Angriffs-Vektor war eine Verwundbarkeit auf einem Application Server. Der war in einem verbunden aber separierten Netzwerk aufgestellt und wurde von einer dritten Organisation verwaltet, die nicht mit USIS zusammenhängt.”
Es gebe jetzt forensische Beweise dafür, dass sich die Hacker in das Drittsystem über einen seit längerem bekannten und wie in Branchenkreisen berichtet wird auch von SAP bereits gepatchten Exploit Zugang verschafft hatten. Von dort aus hatten sich die Hacker über das so genannte Pivoting weiter vor gearbeitet. Dabei nutzen Hacker weniger kritische Systeme, wie etwa eine Testumgebung, um von dort aus in mehreren Schritten kritische Syteme zu erreichen.
Für den Nachweis wurden verschiedene Log-Dateien wie VPN-Logs, Firewall- oder auch SAP-Application-Trace-Logs ausgewertet, so der Nextgov-Bericht. Der Zugriff fand damit über das zweite System statt, verschiedene Berichte verorten den Ursprung des Angriffs in China.
Der Onapsis-SAP-Sicherheitsexperte Sergio Abraham erklärt in einem Blog: “SAP-Systeme sind mit dem Internet verbunden und es braucht nur ein einziges schwaches Kettenglied, damit die Angreifer das Pivoting zwischen den Systemen starten können und sich dann durch das interne Netzwerk bewegen können. Das scheint auch im USIS-Hack der Fall gewesen zu sein.”
“Wir verfolgen bei SAP eine umfassende Sicherheitsstrategie, die schon in der Entwicklung ansetz”, so ein SAP-Sprecher gegenüber silicon.de. Für bereits installierte Systeme biete SAP darüber hinaus Sicherheits-Scans, die dann potentiell unsichere Konfigurationen beim Kunden offen legen. “Zudem veröffentlichen wir in regelmäßigen Abständen Sicherheits-Updates und bei kritischen Fällen raten wir den Anwendern dringend diese Updates auch einzuspielen.”
USIS ist der größte kommerzielle Anbieter von Hintergrundrecherchen für die US-Bundesregierung. Zwei der wichtigsten Auftraggeber sind das Ministerium für Heimatschutz (Department of Homeland Security, DHS) und das Büro für Personalmanagement (Office of Personnel Management, OPM). Öffentlichen Berichten zufolge waren Datensätze von mindestens 27.000 Mitarbeitern des DHS und von verdeckten Ermittlern gefährdet, darunter Namen und Adressen, Sozialversicherungsnummern, Ausbildung und Führungszeugnisse, Geburts- und Familiendaten sowie Informationen über Verwandte und Freunde.
“Cyber-Angriffe auf SAP-Systeme häufen sich. Der Vorfall am USIS ist der Beweis dafür, dass SAP-Schwachstellen bereits seit langem ausgenutzt werden. Die Aussage vieler SAP-Administratoren, dass SAP-Systeme nur über das interne Netzwerk zugänglich sind, offenbart eine große Unsicherheit – und sollte nicht länger als Argument dafür gelten, geschäftswichtige Anwendungen wie SAP nicht gründlich zu prüfen und nicht kontinuierlich zu überwachen”, ergänzt Gerhard Unger, VP Sales EMEA/APAC von SAP-Security-Spezialist Onapsis.
Der aktuelle Angriff nutze laut Onapsis eines der drei am häufigsten verwendeten Vektoren. Derzeit identifiziert das Onapsis Research Lab in der realen Welt Angriffe und plant eine Veröffentlichung dieser Analyse.
Unger warnt: “Hacker verfügen heute über umfangreiches Wissen und enorme Ressourcen – darauf müssen Firmen und Regierungen vorbereitet sein.” Die SAP-Sicherheitsexperten raten zu einem automatischen, kontinuierlichen Monitoring und sowie Echtzeit-Sicherheitsmaßnahmen, um die komplexen Bedrohungen in den Griff zu bekommen.
