Categories: ERP-SuitesSoftware

CERT warnt vor unsicheren SAP-Systemen

Wie so oft sind nicht die gepatchten Sicherheits-Lecks das Problem, sondern, dass bestimmte Aktualisierungen nicht eingepflegt werden, oder weil Systeme falsch konfiguriert sind. Und so verhält es sich auch im aktuellen Fall, bei dem das dem US-Heimatschutzministerium unterstellte Computer Emergency Readiness Team (CERT) vor Angriffen auf eine rund sechs Jahre alte Sicherheitslücke in Unternehmenslösungen von SAP warnt.

Der Fehler steckt in einer Invoker Servlet genannten Funktion des SAP NetWeaver Application Server Java System. Für dieses Sicherheitsleck hatte SAP bereits 2010 einen Patch veröffentlicht. Davon sind laut CERT mindestens 36 Unternehmen weltweit betroffen. Der auf ERP-Sicherheit spezialisierte Anbieter Onapsis melden indes Hinweise auf Angriffe gegen die SAP-Anwendungen dieser Firmen.

Angreifbar sind laut Advisory Business-Anwendungen, die auf der SAP-Java-Plattform laufen. Da die SAP-Anwendungsschicht anfällig sei, trete der Fehler unabhängig vom verwendeten Betriebssystem und der Datenbank-Applikation auf, die das SAP-System unterstütze. Ein Angreifer erhalte unter Umständen remote und ohne Authentifizierung vollständigen Zugriff auf die betroffenen SAP-Plattformen. Was bedeuten könne, dass Unautorisierte vollständige Kontrolle und Einsicht über Geschäftsinformationen und –prozesse auf dem betroffenen System bekommen.

Die Sicherheitswarnung des CERT enthält auch eine Liste mit SAP-Anwendungen, die auf der SAP-Java-Plattform aufbauen. Dazu gehören SAP Enterprise Resource Planning, SAP Product Lifecycle Management, SAP Customer Relationship Management, SAP Supply Chain Management und SAP Business Intelligence.

Betroffene Unternehmen sollten die SAP Security Note 1445998 umsetzen und das Invoker Servlet deaktivieren. Weitere Details liefert ein ausführlicher Forschungsbericht von Onapsis (Registrierung erforderlich). Demnach benötigt ein Hacker lediglich einen Browser sowie Domain, Hostname und IP-Adresse des anzugreifenden SAP-Systems. Die Liste der 36 angreifbaren Firmen soll schon seit 2013 in einem in China registrierten Internetforum kursieren.

Die betroffenen Firmen befinden sich in oder gehören zu Konzernen aus China, Deutschland, Großbritannien, Indien, Japan, Südkorea und den USA. Darunter sind Telekommunikationsanbieter, Kraftwerke, Einzelhändler, Stahl- sowie Öl- und Gaskonzerne. Laut Onapsis wurden sie bereits in Zusammenarbeit mit dem US-CERT über die mögliche Bedrohung informiert.

Komplexe Systeme mit vielen Querverbindungen bieten zahlreiche Angriffsmöglichkeiten (Bild: ERPScan).

Ein Sprecher des Walldorfer Softwarehauses betonte, dass das Invoker Servlet bereits 2010 durch einen Patch deaktiviert wurde. “Alle seitdem veröffentlichen SAP-Anwendungen sind frei von dieser Anfälligkeit.” Da derartige Konfigurationsänderungen Probleme mit kundeneigener Software verursachten, sei die Funktion in Releases von SAP NetWeaver vor Version 7.20 nicht deaktiviert worden.

Aufgrund der hohen Komplexität von ERP-Systemen tauchen immer wieder Berichte über Sicherheitslecks auf, die auf falsche Konfigurationen oder nicht eingespielte Patches zurückzuführen sind. SAP veröffentlicht zudem regelmäßig Sicherheitsupdates.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Lesen Sie auch : SAP IDM vor dem Aus
Redaktion

View Comments

  • CERT = Computer Emergency RESPONSE Team... (immer gut, wenn man weiß, worüber man schreibt ;-) )

Recent Posts

T-Systems baut Maut-System im Elsass

Dank Anbindung an europäische Standard-Technologie sollen Logistiker das System länderübergreifend nutzen können.

4 Stunden ago

ZEISS Microscopy: Update Manager strafft Prozesse und erhöht Sicherheit

Über nahtlose Verbindungen zu IoT-Plattformen wie ThingWorx, Azure IoT, AWS IoT und Mender.io die Mikroskop-Software…

20 Stunden ago

Notwendige Symbiose: Wie der GenKI-Trend den Bedarf an KI-Clouds vorantreibt

KI definiert die Anforderungen an Cloud-Infrastrukturen neu, was sich tiefgreifend auf Unternehmen, Cloud-Anbieter und gesamte…

23 Stunden ago

KI beantwortet Fragen rund um den EU AI Act

Leitlinien der EU-Kommission werfen viele Fragen auf, besonders für Unternehmen, die sicherstellen müssen, dass ihre…

24 Stunden ago

Nachwuchs ausbilden in eigener IT-Academy

Wir heben IT-Weiterbildung auf ein neues Level und bauen interne Technologie-Expertise systematisch auf, sagt Stefan…

4 Tagen ago

KI kann Klinikärzte und Verwaltung entlasten

Der Zugriff auf medizinisches Wissen sowie die Unterstützung bei Entscheidungen durch KI kann Behandlungsfehler reduzieren,…

4 Tagen ago