Erneuter Weckruf an SAP-Patch-Muffel

Eine Schwachstelle im Web-Container von SAP-Netweaver-Umgebungen ermöglicht es, bestimmte URLs aufrufen, die es dann ermöglichen, das sogenannte “Invoker Servlet” auszuführen. Die Schwachstelle auf Applikationslevel bietet Angreifern dann vollen Zugriff auf das SAP-System – sowohl auf die administrativen Funktionen als auch auf darüber laufenden Transaktionen.

NTT Com Security, IT-Security-Partner von SAP in Deutschland, stuft diese Schwachstelle daher als kritisch. Der Dienstleister betont, dass sie nicht in Java selber steckt und sich daher auch nicht mit einem Java-Update beheben lässt. “Das Servlet ist eine von SAP implementierte Schnittstelle, über die andere SAP-Komponenten an den Sicherheitsmechanismen von Java vorbei ansprechbar sind”, so NTT Com Security in einer Pressemitteilung.

SAP hatte bereits 2010 Patches veröffentlicht, die die Sicherheitslücke schließen. Zudem lässt sich das Problem laut NTT Com Security durch Anpassungen an der Konfiguration der betroffenen Anwendungsserver vornehmen beheben. Dennoch haben viele Unternehmen in den vergangenen sechs Jahren offenbar weder das eine noch das andere getan.

“Leider haben viele Unternehmen noch nichts unternommen, um die Schwachstelle zu schließen”, erklärt René Bader, verantwortlich für den Bereich ERP & Business Application Security bei NTT Com Security. “Wir wissen von vielen Unternehmen, die angegriffen wurden, und es ist davon auszugehen, dass die Dunkelziffer deutlich höher liegt.”

Als mögliche Gründe sieht er, dass einerseits viele SAP-Anwenderfirmen noch keine Angriffe auf diese Lücke festgestellt haben und daher keine Veranlassung sehe, etwas zu unternehmen. Anderen fehle es an Werkzeugen für das Patch-Management, das bei Business-Software erforderlich ist, oder sie hätten schlicht keine Zeit, um Patches regelmäßig einzuspielen.

Dadurch gehen Unternehmen laut Bader ein sehr hohes Risiko ein: “Viele haben die Tragweite eines Einbruchs nicht validiert, unter anderem auch deshalb, weil sie über keine umfassende Sicherheitsstrategie verfügen.” Er rät Unternehmen nun jedoch dringend, die SAP-Schwachstelle zu beseitigen.

Ähnliche Empfehlungen wie jetzt NTT Com Security hatte im vergangenen Monat bereits das US-CERT abgegeben. Diese Einrichtung sprach aber im Gegensatz zu NTT Com Security nicht von “vielen”, sondern von lediglich “mindestens 36 Firmen weltweit”, die von dem Fehler in der Invoker Servlet genannten Funktion des SAP NetWeaver Application Server Java System betroffen seien. Der Warnung des CERT zufolge bauen darauf SAP Enterprise Resource Planning, SAP Product Lifecycle Management, SAP Customer Relationship Management, SAP Supply Chain Management und SAP Business Intelligence auf und könnten daher über die Lücke angegriffen werden.

Bereits damals berichtete, ebenso wie jetzt NTT Com Security, der auf ERP-Sicherheit spezialisierte Anbieter Onapsis, dass es Hinweise auf Angriffe gegen die SAP-Anwendungen dieser Firmen gebe. Da die SAP-Anwendungsschicht angreifbar sei, hänge der Fehler weder vom verwendeten Betriebssystem noch der zugrundeliegenden Datenbank-Applikation ab. Onapsis sprach sogar davon, dass es sich lediglich um die “Spitze eines Eisbergs handle”.

Unabhängig davon, ob das nun geschäftsfördernder Pessimismus oder eine sachliche Warnung war, sollten Firmen nun doch endlich die SAP Security Note 1445998 umsetzen und das Invoker Servlet deaktivieren. Denn laut Onapsis benötigt ein Hacker lediglich einen Browser sowie Domain, Hostname und IP-Adresse des anzugreifenden SAP-Systems.

Ein SAP-Sprecher wies im Mai nochmals darauf hin, dass das Invoker Servlet bereits 2010 durch einen Patch deaktiviert wurde. “Alle seitdem veröffentlichen SAP-Anwendungen sind frei von dieser Anfälligkeit.” Da derartige Konfigurationsänderungen jedoch Probleme mit kundeneigener Software verursachten, sei die Funktion in Releases von SAP NetWeaver vor Version 7.20 nicht deaktiviert worden.