Categories: ERP-SuitesSoftware

SAP schließt 15 kritische Lecks in HANA und Mobile

SAP hat das monatlichen Patch-Update für den Monat August 2015 veröffentlicht. Dieses Update schließt 22 Lücken in verschiedenen SAP-Produkten. Davon haben 15 eine hohe Priorität und darunter fallen auch Lecks in der In-Memory-Technologie HANA. SAP und verschiedene spezialisierte ERP-Sicherheits-Anbieter wie ERP-Scan oder Onapsis raten dringend, diese Patches möglichst schnell einzuspielen.

Einer der Fehler erlaubt KeyStream-Recovery und erlaubt einem Angreifer, der Zugriff auf ein verwundbares System hat, die Anmeldedaten und andere sensible Informationen, die auf dem Gerät gespeichert sind zu entschlüsseln. Theoretisch, so warnt das Sicherheitsunternehmen Onapsis, das diese Lecks laut eigenen Angaben aufgespürt hat, können Angreifer über diese Geräte dann auch auf andere Systeme zugreifen.

Die Verteilung der Lecks im August. (Bild: SAP)

Aufgrund vorhersagbarer Verschlüsselungspasswörter für Konfigurationswerte, macht es ein weiterer Fehler möglich, sensible Konfigurationswerte von SAP-Unternehmensanwendungen zu entschlüsseln und zu verändern. Damit stehen zahlreiche Software-Produkte für Attacken offen.

Loading ...

Eine dritte Schwachstelle betrifft vorhersagbare Verschlüsselungen für Storage-Passwörter. Damit können Angreifer auf sensible Informationen zugreifen, die auf verwundbaren Geräten gespeichert sind auch können zum Beispiel Anmeldeinformationen potentiell ausgelesen werden. Auch sei es damit möglich, dass Angreifer sich mit Unternehmensanwendungen verbinden und hier weitere Daten verändern.

Das Sicherheitsunternehmen ERP-Scan, das ebenfalls für sich verbucht, einige Lecks entdeckt zu haben, die in diesem August-Patch-Day geschlossen wurden, hat zudem eine Einordnung der wichtigsten Patches vorgenommen.

Mit einem CVSS Base-Score von 8,5 dürfte das Leck in SAP ST-P am meisten Gewicht haben. Es erlaubt Remote Command Execution. Darüber kann ein Angreifer aus der Ferne Befehle mit den Rechten der Services, die diese verarbeiten, ausführen. Hacker können auf beliebige Dateien in einem SAP-Server-File-System zugreifen, “darunter auch Anwendungs-Source-Code, Konfigurations- und kritische System-Dateien”, warnt Onapsis. Auch könnten auf diese Weise Business-Daten entwendet werden.

Patch 2169391 behebt einen Reflected-File-Download-Fehler (RFD) in SAP NetWeaver AFP Servlett. (CVSS 7,5) Über diesen Web-Angriffs-Vector können Angreifer vollständige Kontrolle über ein angegriffenes System erlangen. Über die RFD-Attacke klickt der Nutzer auf einen Link und er lädt dann aus einer vertrauenswürdigen Domain über einen Bösartigen Link eine manipulierte Datei herunter.

Der Patch 2175928 behebt ein Leck für Running Process Remote Termination (CVSS 6,8). Darüber kann ein Angreifer einen laufenden Prozess in einer angreifbaren Komponente stoppen. Anschließend sei kein Nutzer mehr in der Lage, den Prozess zu nutzen. In der Folge sind gestoppte Business-Prozesse oder System-Abstürze möglich, die dem Unternehmen schaden können.

Ebenfalls in HANA ist ein Leck, das aus einer inkorrekten System-Konfiguration besteht. Darüber können Angreifer ebenfalls auf ein HANA-System ohne Authentifizierung zugreifen.

“National-Staaten und organisierte Verbrecherbanden greifen SAP Business Applications an, weil hier die sensibelsten Daten eines Unternehmens lagern. Dadurch wird es für Unternehmen extrem wichtig, auch vorausgreifende Maßnahmen für den Schutz von SAP-Systemen zu ergreifen”, kommentiert Ezequiel Gutesman, Director Research bei Onapsis. “In einer Studie unserer Forschungsabteilung zeigte sich, dass über 95 Prozent der untersuchten SAP-Systeme unter Verwundbarkeiten litten, die zu einem vollständigen Verlust der Daten und der Systeme hätten führen können.” Weil immer häufiger Angriffe auf diese Systeme stattfinden, sei es so wichtig, dass die Sicherheitsteams mit den Teams für Information Sicherheit zusammenarbeiten, um das Problem zu beheben.

Tipp: Was wissen Sie über SAP? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Redaktion

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

14 Stunden ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

15 Stunden ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

1 Tag ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

1 Tag ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

1 Tag ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

3 Tagen ago