Schwere Sicherheitslücken in SAP HANA

Der auf ERP-Sicherheit spezialisierte Anbieter Onapsis veröffentlicht 21 Lecks in SAP HANA und sämtlichen HANA-basierten Applikationen. Auch die neue Suite S/4HANA sowie HANA-basierten Cloud-Lösungen sind von den Lecks betroffen. Rund 10.000 Unternehmen nutzen inzwischen Produkte auf Basis von SAP HANA.

Acht dieser Lecks werden als kritisch eingestuft. Dabei sollen sechs Lecks sich nur über die Änderung in der Systemkonfiguration beheben lassen. Über diese Lecks können Angreifer vollständig die Kontrolle über die SAP-HANA-Systeme übernehmen und damit auch wertvolle und vertrauliche Informationen entwenden, löschen oder ändern. Zudem, so warnt der Sicherheitsspezialist, könnten geschäftskritische Prozesse unterbrochen werden.

Weitere sechs Lecks sind mit hohem Risiko und sieben mit mittleren Risiko bewertet. Die Schwachstellen stehen unter anderem mit den TrexNet-Schnittstellen im Kern der HANA-Software im Zusammenhang. TrexNet steuert die Kommunikation zwischen Servern in Hochverfügbarkeitsumgebungen. Dadurch sind auch S/4HANA und auch die SAP HANA Cloud-Plattform von den Sicherheitsproblemen betroffen.

In jüngster Zeit werden häufiger Sicherheitslecks in SAP HANA bekannt. (Bild: SAP)

Weil sich einige dieser Schwachstellen sich nicht durch das Einspielen von Patches beheben lassen und auch der TrexNet-Service nicht heruntergefahren werden kann, müssen die Systeme in den meisten Fällen rekonfiguriert werden. Von SAP gibt es entsprechende Sicherheitshinweise.

Parallel dazu empfehlen die Sicherheitsspezialisten von Onapsis, zunächst die TrexNet-Kommunikation korrekt zu konfigurieren. Die Kommunikation über diese Schnittstellen müsse über Netzwerke stattfinden, die von Endanwendern isoliert sind und auf die von keinem anderen Netzwerk aus zugegriffen werden kann. Auf der Transportebene müsse zudem eine Verschlüsselung wie auch eine Authentifizierung installiert sein. Wenn nur eine SAP HANA-Instanz eingerichtet ist, dürfen alle TrexNet-Schnittstellen nur mit der Localhost-Netzwerkschnittstelle kommunizieren.

Einige der kritischen Sicherheitslücken können zudem von legitimierten Anwendern und Hackern ausgenutzt werden, die versuchen, sich mit den verwundbaren Komponenten zu verbinden (SQL und HTTP). Daher sollte der HTTP-Datenverkehr auf ungewöhnliche Aktivitäten überprüft werden. Zudem sollte Unternehmen über SIEM- oder GRC-Tools eine umfassende Informations-Sicherheitsstrategie sicherstellen.

Onapsis arbeitet eng mit SAP zusammen, um Patches für Lecks zu veröffentlichen, bevor diese einer breiteren Öffentlichkeit bekannt werden und gegen Anwender genutzt werden. Nachdem SAP im Februar über diese Lecks informiert wurde, hat der Software-Hersteller jetzt Fixes für die Sicherheitslecks veröffentlicht.

“Die nächste große Angriffswelle zielt auf geschäftswichtige Anwendungen auf der Basis von SAP und Oracle – für Cyber-Kriminelle sind dies die ultimativen Angriffsziele. Gleichzeitig sind es derzeit die größten Unbekannten für viele Chief Information Security Officer (CISO). SAP-bezogene Datenpanne stehen aber mehr und mehr im Fokus der Öffentlichkeit, wie die veröffentlichte Datenpanne rund um das USIS zeigt, einen Anbieter von Recherchen für DHS und OPM”, kommentiert Mariano Nunez, CEO von Onapsis.

Lesen Sie auch : SAP IDM vor dem Aus
Redaktion

Recent Posts

Quantencomputer: Globaler Wettlauf um technologische Führung

Das Wettrennen ist eröffnet. Europa, China und die USA kämpfen um die technologische Führung.

13 Stunden ago

T-Systems baut Maut-System im Elsass

Dank Anbindung an europäische Standard-Technologie sollen Logistiker das System länderübergreifend nutzen können.

2 Tagen ago

ZEISS Microscopy: Update Manager strafft Prozesse und erhöht Sicherheit

Über nahtlose Verbindungen zu IoT-Plattformen wie ThingWorx, Azure IoT, AWS IoT und Mender.io die Mikroskop-Software…

2 Tagen ago

TotalEnergies transformiert Asset Management

IFS-Lösung soll das strategische Rückgrat des Energieriesen vervollständigen und sich in das globale ERP von…

3 Tagen ago

Notwendige Symbiose: Wie der GenKI-Trend den Bedarf an KI-Clouds vorantreibt

KI definiert die Anforderungen an Cloud-Infrastrukturen neu, was sich tiefgreifend auf Unternehmen, Cloud-Anbieter und gesamte…

3 Tagen ago

KI beantwortet Fragen rund um den EU AI Act

Leitlinien der EU-Kommission werfen viele Fragen auf, besonders für Unternehmen, die sicherstellen müssen, dass ihre…

3 Tagen ago