Categories: ERP-SuitesSoftware

SAP schließt 15 kritische Lecks in HANA und Mobile

SAP hat das monatlichen Patch-Update für den Monat August 2015 veröffentlicht. Dieses Update schließt 22 Lücken in verschiedenen SAP-Produkten. Davon haben 15 eine hohe Priorität und darunter fallen auch Lecks in der In-Memory-Technologie HANA. SAP und verschiedene spezialisierte ERP-Sicherheits-Anbieter wie ERP-Scan oder Onapsis raten dringend, diese Patches möglichst schnell einzuspielen.

Einer der Fehler erlaubt KeyStream-Recovery und erlaubt einem Angreifer, der Zugriff auf ein verwundbares System hat, die Anmeldedaten und andere sensible Informationen, die auf dem Gerät gespeichert sind zu entschlüsseln. Theoretisch, so warnt das Sicherheitsunternehmen Onapsis, das diese Lecks laut eigenen Angaben aufgespürt hat, können Angreifer über diese Geräte dann auch auf andere Systeme zugreifen.

Die Verteilung der Lecks im August. (Bild: SAP)

Aufgrund vorhersagbarer Verschlüsselungspasswörter für Konfigurationswerte, macht es ein weiterer Fehler möglich, sensible Konfigurationswerte von SAP-Unternehmensanwendungen zu entschlüsseln und zu verändern. Damit stehen zahlreiche Software-Produkte für Attacken offen.

Loading ...

Eine dritte Schwachstelle betrifft vorhersagbare Verschlüsselungen für Storage-Passwörter. Damit können Angreifer auf sensible Informationen zugreifen, die auf verwundbaren Geräten gespeichert sind auch können zum Beispiel Anmeldeinformationen potentiell ausgelesen werden. Auch sei es damit möglich, dass Angreifer sich mit Unternehmensanwendungen verbinden und hier weitere Daten verändern.

Das Sicherheitsunternehmen ERP-Scan, das ebenfalls für sich verbucht, einige Lecks entdeckt zu haben, die in diesem August-Patch-Day geschlossen wurden, hat zudem eine Einordnung der wichtigsten Patches vorgenommen.

Mit einem CVSS Base-Score von 8,5 dürfte das Leck in SAP ST-P am meisten Gewicht haben. Es erlaubt Remote Command Execution. Darüber kann ein Angreifer aus der Ferne Befehle mit den Rechten der Services, die diese verarbeiten, ausführen. Hacker können auf beliebige Dateien in einem SAP-Server-File-System zugreifen, “darunter auch Anwendungs-Source-Code, Konfigurations- und kritische System-Dateien”, warnt Onapsis. Auch könnten auf diese Weise Business-Daten entwendet werden.

Patch 2169391 behebt einen Reflected-File-Download-Fehler (RFD) in SAP NetWeaver AFP Servlett. (CVSS 7,5) Über diesen Web-Angriffs-Vector können Angreifer vollständige Kontrolle über ein angegriffenes System erlangen. Über die RFD-Attacke klickt der Nutzer auf einen Link und er lädt dann aus einer vertrauenswürdigen Domain über einen Bösartigen Link eine manipulierte Datei herunter.

Der Patch 2175928 behebt ein Leck für Running Process Remote Termination (CVSS 6,8). Darüber kann ein Angreifer einen laufenden Prozess in einer angreifbaren Komponente stoppen. Anschließend sei kein Nutzer mehr in der Lage, den Prozess zu nutzen. In der Folge sind gestoppte Business-Prozesse oder System-Abstürze möglich, die dem Unternehmen schaden können.

Ebenfalls in HANA ist ein Leck, das aus einer inkorrekten System-Konfiguration besteht. Darüber können Angreifer ebenfalls auf ein HANA-System ohne Authentifizierung zugreifen.

“National-Staaten und organisierte Verbrecherbanden greifen SAP Business Applications an, weil hier die sensibelsten Daten eines Unternehmens lagern. Dadurch wird es für Unternehmen extrem wichtig, auch vorausgreifende Maßnahmen für den Schutz von SAP-Systemen zu ergreifen”, kommentiert Ezequiel Gutesman, Director Research bei Onapsis. “In einer Studie unserer Forschungsabteilung zeigte sich, dass über 95 Prozent der untersuchten SAP-Systeme unter Verwundbarkeiten litten, die zu einem vollständigen Verlust der Daten und der Systeme hätten führen können.” Weil immer häufiger Angriffe auf diese Systeme stattfinden, sei es so wichtig, dass die Sicherheitsteams mit den Teams für Information Sicherheit zusammenarbeiten, um das Problem zu beheben.

Tipp: Was wissen Sie über SAP? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Redaktion

Recent Posts

KI als Pairing-Partner in der Software-Entwicklung

Pair Programming ist eine verbreitete Methode in der Softwareentwicklung mit vielen positiven Effekten, erklärt Daniel…

10 Stunden ago

Confare #ImpactChallenge 2024 – jetzt einreichen und nominieren

Mit der #ImpactChallenge holt die IT-Plattform Confare IT-Verantwortliche auf die Bühne, die einen besonderen Impact…

14 Stunden ago

Ransomware: Zahlen oder nicht zahlen?

Sollen Unternehmen mit den Ransomware-Angreifern verhandeln und das geforderte Lösegeld zahlen?

17 Stunden ago

KI-gestützter Cobot automatisiert Sichtprüfung

Die manuelle Qualitätsprüfung von Industrieprodukten ist ermüdend und strengt an.  Eine neue Fraunhofer-Lösung will Abhilfe…

1 Tag ago

Digitalisierungsberufe: Bis 2027 fehlen 128.000 Fachkräfte

Studie des Instituts der deutschen Wirtschaft (IW) zeigt, in welchen Digitalisierungsberufen bis 2027 die meisten…

2 Tagen ago

Angriffe auf Automobilbranche nehmen zu

Digitalisierung und Vernetzung der Fahrzeuge, Elektromobilität und autonomes Fahren bieten zahlreiche Angriffspunkte.

2 Tagen ago