Fernzugriff ist Achillesferse von SAP-Systemen

SicherheitSicherheitsmanagement

Im Rahmen der Studie Onapsis Business Risk Illustration fanden sich insgesamt 480 Schwachstellen. 142 davon werden nach den CSSV- Kriterien als kritisch oder hoch eingestuft und sollten damit umgehend geschlossen werden. Da Patches in der Regel schon lange vorliegen, ist das auch durchaus möglich.

Onapsis hat mit seinem seit Anfang des Jahres angebotenen Risiko-Analyse-Service für SAP-Nutzer inzwischen SAP-Implementierungen von über 100 Anwenderunternehmen analysiert und eine Zwischenbilanz der Schwachstellen-Scans vorgelegt. Demnach fanden sich bislang insgesamt 480 Schwachstellen. 142 davon werden nach den CSSV- Kriterien als kritisch oder hoch eingestuft und sollten damit umgehend geschlossen werden. Da Patches in der Regel schon lange vorliegen, ist das auch durchaus möglich.

Eine detailliertere Auswertung zeigt, dass die weit verbreiteten Mechanismen für den Fernzugriff eine Achillesferse der SAP-Systeme sind. Das ist gravierend, weil diese Schwachstellen Unbefugten potenziell meist besonders umfangreiche Aktionen ermöglichen, etwa den Zugriff auf SAP-Instanzen, administrative Dienste und RFC-Server. Sie könnten dann Informationen nicht nur abfangen und auslesen, sondern auch schreiben oder löschen sowie möglicherweise Konfigurationsparameter abfangen, um damit dann weitere Angriffe vorzubereiten. Außerdem waren bei den gescannten Systemen auch Man-in-the-middle-Angriffe, Traffic Sniffing oder Denial-of-Service-Angriffe möglich und hätte sich bei einigen sogar die komplette Kontrolle über übernehmen lassen.

Onapsis (Grafik: Onapsis)

“Die Ergebnisse zeigen, dass in vielen Branchen in Sachen SAP-Sicherheit noch ein enormer Nachholbedarf bei der Überwachung der SAP-Sicherheit besteht. Schwachstellen in den SAP-Implementierungen führen zu einer potenziellen Gefährdung unternehmenskritischer Geschäftsprozesse und Daten”, erklärt Mariano Nunez, CEO und Mitbegründer von Onapsis, in einer Pressemitteilung. Dabei ließen sich die Schwachstellen, oft mit bereits verfügbaren Patches schließen.

Insgesamt berichtet Onapsis von 480 gefundenen Schwachstellen. Davon seien 142 nach den Kriterien des Common Vulnerability Scoring Systems (CSSV) als “kritisch” oder “hoch” einzustufen und daher dringend zu beheben. Bei Öl- und Gas-fördernden Unternehmen wurden 127 Schwachstellen entdeckt, bei Unternehmen der Luftfahrtbranche 145 Schwachstellen und in der Pharmaindustrie 138 Schwachstellen.

In allen Branchen am weitesten verbreitet sind Schwachstellen beim Fernzugriff. Dazu trägt die eigentlich schon längst behobene, unzureichende Sicherung der Java-Komponente Invoker Servlet bei. Durch sie könnten sich in vielen Fällen anonyme Angreifer per Fernzugriff auf SAP-Java-Systeme einloggen, dabei externe Authentifizierungsmechanismen umgehen und SAP-User anlegen um damit dann diverse betrügerische Aktivitäten durchzuführen. Diese Sicherheitslücke fand sich in über einem Drittel der 100 untersuchten Unternehmen, die aus den USA, Großbritannien, Deutschland, China, Indien, Japan und Südkorea stammen.

Laut Onapsis ist das “dramatisch und zugleich unverständlich, denn für diese Lücke existiert schon seit sechs Jahren ein SAP-Patch.” Aktualisierte SAP-Systeme sind von dem Problem daher auch nicht betroffen. Offenbar hapert es mit der Aktualisierung jedoch, denn das US-CERT hatte es im Mai dieses Jahres für notwendig gehalten, zu genau dieser Lücke eine Sicherheitswarnung zu veröffentlichen. Einen Monat später mahnte NTT Security nach einer Untersuchung noch einmal an, dass trotz dieser Warnung noch immer zahlreiche Systeme ohne den 2010 veröffentlichten Patch liefen.

Firmen sollten nun endlich die SAP Security Note 1445998 umsetzen und das Invoker Servlet deaktivieren. Laut Onapsis reichen einem Angreifer nämlich Informationen zu Domain, Hostname und IP-Adresse des SAP-Systems. Im Mai wies anlässlich der Warnung des US-CERT ein SAP-Sprecher nochmals darauf hin, dass alle seit 2010 veröffentlichen SAP-Anwendungen von der Schachstelle nicht betroffen sind. Da derartige Konfigurationsänderungen jedoch Probleme mit kundeneigener Software verursachen, sei die Funktion in Releases von SAP NetWeaver vor Version 7.20 nicht deaktiviert worden.

Tipp: Wie gut kennen Sie SAP? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen