SAP schließt 15 kritische Lecks in HANA und Mobile

SAP hat das monatlichen Patch-Update für den Monat August 2015 veröffentlicht. Dieses Update schließt 22 Lücken in verschiedenen SAP-Produkten. Davon haben 15 eine hohe Priorität und darunter fallen auch Lecks in der In-Memory-Technologie HANA. SAP und verschiedene spezialisierte ERP-Sicherheits-Anbieter wie ERP-Scan oder Onapsis raten dringend, diese Patches möglichst schnell einzuspielen.

Einer der Fehler erlaubt KeyStream-Recovery und erlaubt einem Angreifer, der Zugriff auf ein verwundbares System hat, die Anmeldedaten und andere sensible Informationen, die auf dem Gerät gespeichert sind zu entschlüsseln. Theoretisch, so warnt das Sicherheitsunternehmen Onapsis, das diese Lecks laut eigenen Angaben aufgespürt hat, können Angreifer über diese Geräte dann auch auf andere Systeme zugreifen.

Aufgrund vorhersagbarer Verschlüsselungspasswörter für Konfigurationswerte, macht es ein weiterer Fehler möglich, sensible Konfigurationswerte von SAP-Unternehmensanwendungen zu entschlüsseln und zu verändern. Damit stehen zahlreiche Software-Produkte für Attacken offen.

Eine dritte Schwachstelle betrifft vorhersagbare Verschlüsselungen für Storage-Passwörter. Damit können Angreifer auf sensible Informationen zugreifen, die auf verwundbaren Geräten gespeichert sind auch können zum Beispiel Anmeldeinformationen potentiell ausgelesen werden. Auch sei es damit möglich, dass Angreifer sich mit Unternehmensanwendungen verbinden und hier weitere Daten verändern.

Das Sicherheitsunternehmen ERP-Scan, das ebenfalls für sich verbucht, einige Lecks entdeckt zu haben, die in diesem August-Patch-Day geschlossen wurden, hat zudem eine Einordnung der wichtigsten Patches vorgenommen.

Mit einem CVSS Base-Score von 8,5 dürfte das Leck in SAP ST-P am meisten Gewicht haben. Es erlaubt Remote Command Execution. Darüber kann ein Angreifer aus der Ferne Befehle mit den Rechten der Services, die diese verarbeiten, ausführen. Hacker können auf beliebige Dateien in einem SAP-Server-File-System zugreifen, “darunter auch Anwendungs-Source-Code, Konfigurations- und kritische System-Dateien”, warnt Onapsis. Auch könnten auf diese Weise Business-Daten entwendet werden.

Patch 2169391 behebt einen Reflected-File-Download-Fehler (RFD) in SAP NetWeaver AFP Servlett. (CVSS 7,5) Über diesen Web-Angriffs-Vector können Angreifer vollständige Kontrolle über ein angegriffenes System erlangen. Über die RFD-Attacke klickt der Nutzer auf einen Link und er lädt dann aus einer vertrauenswürdigen Domain über einen Bösartigen Link eine manipulierte Datei herunter.

Der Patch 2175928 behebt ein Leck für Running Process Remote Termination (CVSS 6,8). Darüber kann ein Angreifer einen laufenden Prozess in einer angreifbaren Komponente stoppen. Anschließend sei kein Nutzer mehr in der Lage, den Prozess zu nutzen. In der Folge sind gestoppte Business-Prozesse oder System-Abstürze möglich, die dem Unternehmen schaden können.

Ebenfalls in HANA ist ein Leck, das aus einer inkorrekten System-Konfiguration besteht. Darüber können Angreifer ebenfalls auf ein HANA-System ohne Authentifizierung zugreifen.

“National-Staaten und organisierte Verbrecherbanden greifen SAP Business Applications an, weil hier die sensibelsten Daten eines Unternehmens lagern. Dadurch wird es für Unternehmen extrem wichtig, auch vorausgreifende Maßnahmen für den Schutz von SAP-Systemen zu ergreifen”, kommentiert Ezequiel Gutesman, Director Research bei Onapsis. “In einer Studie unserer Forschungsabteilung zeigte sich, dass über 95 Prozent der untersuchten SAP-Systeme unter Verwundbarkeiten litten, die zu einem vollständigen Verlust der Daten und der Systeme hätten führen können.” Weil immer häufiger Angriffe auf diese Systeme stattfinden, sei es so wichtig, dass die Sicherheitsteams mit den Teams für Information Sicherheit zusammenarbeiten, um das Problem zu beheben.

Tipp: Was wissen Sie über SAP? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de