Wie so oft sind nicht die gepatchten Sicherheits-Lecks das Problem, sondern, dass bestimmte Aktualisierungen nicht eingepflegt werden, oder weil Systeme falsch konfiguriert sind. Und so verhält es sich auch im aktuellen Fall, bei dem das dem US-Heimatschutzministerium unterstellte Computer Emergency Readiness Team (CERT) vor Angriffen auf eine rund sechs Jahre alte Sicherheitslücke in Unternehmenslösungen von SAP warnt.
Der Fehler steckt in einer Invoker Servlet genannten Funktion des SAP NetWeaver Application Server Java System. Für dieses Sicherheitsleck hatte SAP bereits 2010 einen Patch veröffentlicht. Davon sind laut CERT mindestens 36 Unternehmen weltweit betroffen. Der auf ERP-Sicherheit spezialisierte Anbieter Onapsis melden indes Hinweise auf Angriffe gegen die SAP-Anwendungen dieser Firmen.
Angreifbar sind laut Advisory Business-Anwendungen, die auf der SAP-Java-Plattform laufen. Da die SAP-Anwendungsschicht anfällig sei, trete der Fehler unabhängig vom verwendeten Betriebssystem und der Datenbank-Applikation auf, die das SAP-System unterstütze. Ein Angreifer erhalte unter Umständen remote und ohne Authentifizierung vollständigen Zugriff auf die betroffenen SAP-Plattformen. Was bedeuten könne, dass Unautorisierte vollständige Kontrolle und Einsicht über Geschäftsinformationen und –prozesse auf dem betroffenen System bekommen.
Die Sicherheitswarnung des CERT enthält auch eine Liste mit SAP-Anwendungen, die auf der SAP-Java-Plattform aufbauen. Dazu gehören SAP Enterprise Resource Planning, SAP Product Lifecycle Management, SAP Customer Relationship Management, SAP Supply Chain Management und SAP Business Intelligence.
Betroffene Unternehmen sollten die SAP Security Note 1445998 umsetzen und das Invoker Servlet deaktivieren. Weitere Details liefert ein ausführlicher Forschungsbericht von Onapsis (Registrierung erforderlich). Demnach benötigt ein Hacker lediglich einen Browser sowie Domain, Hostname und IP-Adresse des anzugreifenden SAP-Systems. Die Liste der 36 angreifbaren Firmen soll schon seit 2013 in einem in China registrierten Internetforum kursieren.
Die betroffenen Firmen befinden sich in oder gehören zu Konzernen aus China, Deutschland, Großbritannien, Indien, Japan, Südkorea und den USA. Darunter sind Telekommunikationsanbieter, Kraftwerke, Einzelhändler, Stahl- sowie Öl- und Gaskonzerne. Laut Onapsis wurden sie bereits in Zusammenarbeit mit dem US-CERT über die mögliche Bedrohung informiert.
Ein Sprecher des Walldorfer Softwarehauses betonte, dass das Invoker Servlet bereits 2010 durch einen Patch deaktiviert wurde. “Alle seitdem veröffentlichen SAP-Anwendungen sind frei von dieser Anfälligkeit.” Da derartige Konfigurationsänderungen Probleme mit kundeneigener Software verursachten, sei die Funktion in Releases von SAP NetWeaver vor Version 7.20 nicht deaktiviert worden.
Aufgrund der hohen Komplexität von ERP-Systemen tauchen immer wieder Berichte über Sicherheitslecks auf, die auf falsche Konfigurationen oder nicht eingespielte Patches zurückzuführen sind. SAP veröffentlicht zudem regelmäßig Sicherheitsupdates.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Dank Anbindung an europäische Standard-Technologie sollen Logistiker das System länderübergreifend nutzen können.
Über nahtlose Verbindungen zu IoT-Plattformen wie ThingWorx, Azure IoT, AWS IoT und Mender.io die Mikroskop-Software…
KI definiert die Anforderungen an Cloud-Infrastrukturen neu, was sich tiefgreifend auf Unternehmen, Cloud-Anbieter und gesamte…
Leitlinien der EU-Kommission werfen viele Fragen auf, besonders für Unternehmen, die sicherstellen müssen, dass ihre…
Wir heben IT-Weiterbildung auf ein neues Level und bauen interne Technologie-Expertise systematisch auf, sagt Stefan…
Der Zugriff auf medizinisches Wissen sowie die Unterstützung bei Entscheidungen durch KI kann Behandlungsfehler reduzieren,…
View Comments
CERT = Computer Emergency RESPONSE Team... (immer gut, wenn man weiß, worüber man schreibt ;-) )
ups - ich nehme alles zurück, die nennen sich tatsächlich "readiness" - o.m.g