CERT warnt vor unsicheren SAP-Systemen

SAP (Bild: 360b / Shutterstock.com)

Eine altbekannte und seitens SAP längst behobene Sicherheitslücke ist wieder aktuell. Auch nach einigen Jahren sind immer noch falsch konfigurierte und veraltete Systeme angreifbar. Auch in Deutschland.

Wie so oft sind nicht die gepatchten Sicherheits-Lecks das Problem, sondern, dass bestimmte Aktualisierungen nicht eingepflegt werden, oder weil Systeme falsch konfiguriert sind. Und so verhält es sich auch im aktuellen Fall, bei dem das dem US-Heimatschutzministerium unterstellte Computer Emergency Readiness Team (CERT) vor Angriffen auf eine rund sechs Jahre alte Sicherheitslücke in Unternehmenslösungen von SAP warnt.

Der Fehler steckt in einer Invoker Servlet genannten Funktion des SAP NetWeaver Application Server Java System. Für dieses Sicherheitsleck hatte SAP bereits 2010 einen Patch veröffentlicht. Davon sind laut CERT mindestens 36 Unternehmen weltweit betroffen. Der auf ERP-Sicherheit spezialisierte Anbieter Onapsis melden indes Hinweise auf Angriffe gegen die SAP-Anwendungen dieser Firmen.

Angreifbar sind laut Advisory Business-Anwendungen, die auf der SAP-Java-Plattform laufen. Da die SAP-Anwendungsschicht anfällig sei, trete der Fehler unabhängig vom verwendeten Betriebssystem und der Datenbank-Applikation auf, die das SAP-System unterstütze. Ein Angreifer erhalte unter Umständen remote und ohne Authentifizierung vollständigen Zugriff auf die betroffenen SAP-Plattformen. Was bedeuten könne, dass Unautorisierte vollständige Kontrolle und Einsicht über Geschäftsinformationen und –prozesse auf dem betroffenen System bekommen.

Die Sicherheitswarnung des CERT enthält auch eine Liste mit SAP-Anwendungen, die auf der SAP-Java-Plattform aufbauen. Dazu gehören SAP Enterprise Resource Planning, SAP Product Lifecycle Management, SAP Customer Relationship Management, SAP Supply Chain Management und SAP Business Intelligence.

Betroffene Unternehmen sollten die SAP Security Note 1445998 umsetzen und das Invoker Servlet deaktivieren. Weitere Details liefert ein ausführlicher Forschungsbericht von Onapsis (Registrierung erforderlich). Demnach benötigt ein Hacker lediglich einen Browser sowie Domain, Hostname und IP-Adresse des anzugreifenden SAP-Systems. Die Liste der 36 angreifbaren Firmen soll schon seit 2013 in einem in China registrierten Internetforum kursieren.

Die betroffenen Firmen befinden sich in oder gehören zu Konzernen aus China, Deutschland, Großbritannien, Indien, Japan, Südkorea und den USA. Darunter sind Telekommunikationsanbieter, Kraftwerke, Einzelhändler, Stahl- sowie Öl- und Gaskonzerne. Laut Onapsis wurden sie bereits in Zusammenarbeit mit dem US-CERT über die mögliche Bedrohung informiert.

Komplexe Systeme mit vielen Querverbindungen bieten zahlreiche Angriffsmöglichkeiten. (Bild: ERPScan)
Komplexe Systeme mit vielen Querverbindungen bieten zahlreiche Angriffsmöglichkeiten (Bild: ERPScan).

Ein Sprecher des Walldorfer Softwarehauses betonte, dass das Invoker Servlet bereits 2010 durch einen Patch deaktiviert wurde. “Alle seitdem veröffentlichen SAP-Anwendungen sind frei von dieser Anfälligkeit.” Da derartige Konfigurationsänderungen Probleme mit kundeneigener Software verursachten, sei die Funktion in Releases von SAP NetWeaver vor Version 7.20 nicht deaktiviert worden.

Aufgrund der hohen Komplexität von ERP-Systemen tauchen immer wieder Berichte über Sicherheitslecks auf, die auf falsche Konfigurationen oder nicht eingespielte Patches zurückzuführen sind. SAP veröffentlicht zudem regelmäßig Sicherheitsupdates.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.