SAP Afaria von SMS-Leck bedroht

Martin Schindler,
SAP (Bild: 360b / Shutterstock.com)

Sicherheitsforscher von ERPScan veröffentlichen jetzt neue Details zu Sicherheitslecks in SAPs Enterprise Mobility Management Afaria. Im äußersten Fall könne ein Angreifer sämtliche mobilen Geräte eines Unternehmens übernehmen. SAP hat seit einigen Wochen diese Fehler gepatcht.

Sicherheitsforscher von ERPScan haben jetzt Details zu einem Sicherheitsrelevanten Leck in SAP Afaria veröffentlicht. Auf der Sicherheitskonferenz HackerHalted in Atlanta veröffentlicht Dmitry Chastuchin, Director of Research bei dem auf ERP-Sicherheit spezialisierten Unternehmen weitere Details zu den Lecks. Diese könnten dafür ausgenutzt werden, um mobile Geräte eines Unternehmens anzugreifen.

Afaria nennt SAP das eigene Enterprise Mobility Management- beziehungsweise Mobile Device Management. Afaria ist vor allem bei Unternehmen im Einsatz, die hohe Sicherheitsanforderungen und strikte Kontrolle bei mobilen Unternehmensgeräten realisieren wollen. Derzeit sollen weltweit über 6300 Unternehmen diese Lösung einsetzen. Hinzu kommen weitere Organisationen wie etwa Regierungsstellen. Afaria kam über die Sybase-Übernahme in das Portfolio der SAP.

Verwaltung mobiler Geräte unter SAP Afaria. (Bild: ERPScan)
Verwaltung mobiler Geräte unter SAP Afaria. (Bild: ERPScan)

Die Forscher von ERPScan haben auf der Konferenz zwei kritische Lecks in dieser Management-Lösung beleuchtet. Das wohl schwerwiegendste Sicherheitsleck erlaube es Angreifern, ihre Rechte zu erhöhen. Damit können Nutzer angeblich über den Afaria-Management-Server administrative SMS aussenden. Über diese Nachrichten werden aber innerhalb der Lösung, die Management-Funktionen auf den Geräten umgesetzt. So können Administratoren damit remote Daten auf den Geräten löschen, diese absperren oder weitere Einstellungen ändern.

Passwort-Konfiguration unter SAP Afaria. (Bild: ERPScan)
Passwort-Konfiguration unter SAP Afaria. (Bild: ERPScan)

Natürlich werden diese Nachrichten besonders überprüft und eine Signatur soll dafür Sorge tragen, dass sich diese Nachrichten nicht fälschen lassen. Laut Darstellung von ERPScan aber scheint es für einen Angreifer auf einem ungepatchten System möglich zu sein alleine anhand der IMEI-Nummer, also der eindeutigen Identifikationsnummer eines Mobilgerätes , diesen Schutzmechanismus auszuhebeln und eine administrative SMS zu fälschen. Zudem muss natürlich die Rufnummer des Gerätes bekannt sein.

Angeblich lasse sich die IMEI-Nummer über verschiedene Tools “over the Air” ausschnüffeln. Eine andere Möglichkeit sei laut ERPScan, die IMEIs zu erraten. Denn Unternehmen, die Geräte anschaffen, kaufen diese in einem größeren Block. Daher seien sich diese Nummern sehr ähnlich, was natürlich bei einer so genannten Brute Force Attacke den Angreifern zu Hilfe kommt. Da es für Nutzer sehr einfach ist, die eigene IMEI auf dem Gerät herauszufinden, können die Anwender auch schnell die Nummern der Kollegen ausfindig machen. Auf diese Weise könnte ein Angreifer sehr einfach die Daten auf den Geräten seiner Mitarbeiter löschen. Ein Szenario, das ein Unternehmen tagelang lahm legen könnte.

Ein weiteres Leck lasse sich remote über das Internet ausnutzen. Dafür müsse der Angreifer nach einem speziellen Service in der MDM-Lösung scannen. Der Fehler liege in einem Stored XSS in der administrativen Konsole der Lösung. Der entsprechende Service greift häufig auf das Internet zu, da die mobilen Geräten eine Remote-Verbindung mit der MDM-Lösung aufbauen. Stored XSS bedeutet, dass ein Angreifer ein manipuliertes Paket an einen Server-Port schicken kann und dann auf diesen Wege bösartigen JavaScript-Code in die MDM-Console einfügen kann. Sobald sich dann der Administrator in die Console einlogt, wird der Code automatisch ausgeführt und der Angreifer bekommt auf diesem Weg die Kontrolle über sämtliche angeschlossenen Geräte. Er kann Schadsoftware aufspielen, oder auch Informationen löschen.

Mit dem wachsenden Interesse von Unternehmen, mobile Lösungen umzusetzen, rücken diese EMM-Lösungen natürlich auch vermehrt in das Interesse von Angreifern und Sicherheitsunternehmen.

Nach Absprache mit SAP, das dieses Lecks bereits Mitte Mai mit einer Security Note beziehungsweise im August geschlossen hatte, wurden nun weitere Details veröffentlicht (Präsentation im PDF-Format). Der Sicherheitsspezialist rät dennoch sämtlichen Anwendern die entsprechenden Patches aufzuspielen und die Systeme sicher zu konfigurieren, da über diese Lecks nicht nur mobile Geräte in Gefahr sind, sondern auch andere, angeschlossene Systeme wie ERP oder CRM.

Von SAP heißt es dazu: “Uns liegt das Thema “Sicherheit” sehr am Herzen, was wir auch mit unserer Drei-Säulen-Strategie unterstreichen: Prevent (Vorsorgen), Detect (Entdecken), React (Reagieren).” Neben etablierten Prozessen, Tools, Mitarbeiterschulungen, Richtlinien sorge SAP auch mit regelmäßigen Benachrichtigung der Kunden dafür, dass bestehende Patches bei den Kundensystemen eingespielt werden sollten.