PwC-Tool gefährdet möglicherweise SAP-Systeme

SicherheitSicherheitsmanagement

Das Sicherheits-Tool ACE für SAP von PwC öffnet laut dem deutschen SAP-Sicherheitsspezialisten ESNC ein Einfallstor für Hacker. PricewaterhouseCoopers reagiert auf die Entdeckung mit einer Unterlassungsklage.

Der deutsche Sicherheitsspezialist ESNChat Informationen zu einem schwerwiegenden Sicherheitsleck in einem Tool von PricewaterhouseCoopers für SAP-Systeme veröffentlich. Das deutsche Sicherheitsforschungsunternehmen hat den Fehler im Automated Controls Evaluator (ACE) von PricewaterhouseCooper entdeckt.

Das Tool extrahiert Daten zur Sicherheit und Konfiguration eines SAP-Systems. Mit diesen Daten werden dann Reports generiert, über die Sicherheitsadministratoren bei der Sicherung der Systeme unterstützt werden sollen. So lassen sich Schlupflöcher identifizieren, die Dritte missbrauchen können, um damit auf die Systeme zuzugreifen. Auch privilegierte Zugriffe oder Konflikte bei der “Segregation of Duties” sollen über das Tool identifizierbar sein.

Exploit von PwCs Automated Controls Evaluator (ACE) durch ESNC. Hier wurde ein neuer User angelegt. (Bild: ESNC)
Exploit von PwCs Automated Controls Evaluator (ACE) durch ESNC. Hier wurde ein neuer User mit allen Rechten auf einem System angelegt. (Bild: ESNC)

Doch genau dieses Tool soll die betreuten Systeme gefährden, so ESNC in einem Advisory. Laut Hersteller verändere ACE das produktive Systeme nicht. Problem aber sei, dass ACE statt dessen ein Sicherheitsleck aufweist, dass es erlaubt, Remote auf einem SAP-System ein bösartiges ABAP-File auszuführen. Die Angriffe können lokal über die SAPGui oder über ICF-Services wie WebGui remote über das Internetprotokoll ausgeführt werden. Allerdings müsse sich der Angreifer dafür authentifizieren.

ESNC empfiehlt, gezielt nach missbräuchlichen Verwendungen des Programms zu fahnden und zu einer nicht verwundbaren Version zu wechseln. Anwender der ESNC-Lösung Enterprise Threat Monitor seien seit August vor dem Leck geschützt.

Laut ESNC können Angreifer, abhängig davon, in welchen Modul oder Bereich ACE installiert ist, Buchhaltungsdokumente oder Finanzergebnisse manipulieren. Auch Kontrollen für die Segregation of Duties wie auch Change-Management-Controls lassen sich unter Umständen damit umgehen.

Ausgewähltes Whitepaper

EU-Datenschutzgrundverordnung: Warum Insellösungen keine Lösung sind

Ende Mai 2018 endet die Übergangsfrist für die EU-Datenschutzgrundverordnung (EU-DSGVO). Dann greifen in Europa die neuen, strengen Datenschutzregelungen. Firmen, die dagegen verstoßen, drohen Strafen bis zu 20 Millionen Euro oder 4 Prozent ihres Jahresumsatzes. Vor dem Hintergrund ist eine umfassende Gesamtstrategie gefragt.

Das erlaube möglicherweise Betrug, Diebstahl oder Manipulation von sensiblen Daten, etwa Masterdata von Konten und Lohninformationen der Personalabteilung, unautorisierte Zahlungen und den Abfluss von Geld, warnen die Sicherheitsexperten. Darüber hinaus könnten die Angreifer Hintertüren setzen, auf das System zugreifen, das System herunterfahren oder auch Änderungen am System durchführen, die die SAP-Installation inoperabel machen. Der Fehler betreffe die Version 8.10.304 aber auch ältere Versionen könnten davon betroffen sein. Die Sicherheitsexperten bewerten das Leck mit dem CVSS-Basescore 9.9.

Bereits im August, so der Sicherheitsspezialist, hätte man Kontakt mit PwC aufgenommen. Anfang September hätten Vertreter von ESNC noch einmal nachgefragt, ob bereits ein Patch vorliege und wenige Tage später dann eine Unterlassungserklärung von PwC zugestellt bekommen. Im November hätte ESNC noch einmal nachgeforscht, ob und wie ein Patch geplant sei. Auch in diesem Fall hätten die Sicherheitsexperten eine Unterlassungserklärung zugesandt bekommen. Daraufhin habe sich das Sicherheitsunternehmen entschieden, das Leck publik zu machen.

Ausgewähltes Whitepaper

Cloud-Provider-Wahl ist Vertrauenssache

Inzwischen gibt es auch in Deutschland zahlreiche lokalisierte Angebote und Rechenzentren, auf die Anwenderunternehmen bei Cloud-Angeboten zurückgreifen können. Die Ergebnisse einer umfassenden Umfrage zeigen, auf welche Aspekte sie dabei besonders Wert legen.

Auf Anfrage des britischen Brachendienstes The Register erklärte ein Sprecher von PwC, dass der Code, auf den dieses Advisory ziele, nicht in den Versionen vorhanden sei, die bei Kunden im Einsatz sind. Daher beschreibe dieses Advisory ein hypotetisches und sehr unwahrscheinliches Scenario. PwC kenne derzeit kein Beispiel, bei dem das ausgenutzt wurde.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen