PwC-Tool gefährdet möglicherweise SAP-Systeme

Der deutsche Sicherheitsspezialist ESNChat Informationen zu einem schwerwiegenden Sicherheitsleck in einem Tool von PricewaterhouseCoopers für SAP-Systeme veröffentlich. Das deutsche Sicherheitsforschungsunternehmen hat den Fehler im Automated Controls Evaluator (ACE) von PricewaterhouseCooper entdeckt.

Das Tool extrahiert Daten zur Sicherheit und Konfiguration eines SAP-Systems. Mit diesen Daten werden dann Reports generiert, über die Sicherheitsadministratoren bei der Sicherung der Systeme unterstützt werden sollen. So lassen sich Schlupflöcher identifizieren, die Dritte missbrauchen können, um damit auf die Systeme zuzugreifen. Auch privilegierte Zugriffe oder Konflikte bei der “Segregation of Duties” sollen über das Tool identifizierbar sein.

Doch genau dieses Tool soll die betreuten Systeme gefährden, so ESNC in einem Advisory. Laut Hersteller verändere ACE das produktive Systeme nicht. Problem aber sei, dass ACE statt dessen ein Sicherheitsleck aufweist, dass es erlaubt, Remote auf einem SAP-System ein bösartiges ABAP-File auszuführen. Die Angriffe können lokal über die SAPGui oder über ICF-Services wie WebGui remote über das Internetprotokoll ausgeführt werden. Allerdings müsse sich der Angreifer dafür authentifizieren.

ESNC empfiehlt, gezielt nach missbräuchlichen Verwendungen des Programms zu fahnden und zu einer nicht verwundbaren Version zu wechseln. Anwender der ESNC-Lösung Enterprise Threat Monitor seien seit August vor dem Leck geschützt.

Laut ESNC können Angreifer, abhängig davon, in welchen Modul oder Bereich ACE installiert ist, Buchhaltungsdokumente oder Finanzergebnisse manipulieren. Auch Kontrollen für die Segregation of Duties wie auch Change-Management-Controls lassen sich unter Umständen damit umgehen.

Das erlaube möglicherweise Betrug, Diebstahl oder Manipulation von sensiblen Daten, etwa Masterdata von Konten und Lohninformationen der Personalabteilung, unautorisierte Zahlungen und den Abfluss von Geld, warnen die Sicherheitsexperten. Darüber hinaus könnten die Angreifer Hintertüren setzen, auf das System zugreifen, das System herunterfahren oder auch Änderungen am System durchführen, die die SAP-Installation inoperabel machen. Der Fehler betreffe die Version 8.10.304 aber auch ältere Versionen könnten davon betroffen sein. Die Sicherheitsexperten bewerten das Leck mit dem CVSS-Basescore 9.9.

Bereits im August, so der Sicherheitsspezialist, hätte man Kontakt mit PwC aufgenommen. Anfang September hätten Vertreter von ESNC noch einmal nachgefragt, ob bereits ein Patch vorliege und wenige Tage später dann eine Unterlassungserklärung von PwC zugestellt bekommen. Im November hätte ESNC noch einmal nachgeforscht, ob und wie ein Patch geplant sei. Auch in diesem Fall hätten die Sicherheitsexperten eine Unterlassungserklärung zugesandt bekommen. Daraufhin habe sich das Sicherheitsunternehmen entschieden, das Leck publik zu machen.

Auf Anfrage des britischen Brachendienstes The Register erklärte ein Sprecher von PwC, dass der Code, auf den dieses Advisory ziele, nicht in den Versionen vorhanden sei, die bei Kunden im Einsatz sind. Daher beschreibe dieses Advisory ein hypotetisches und sehr unwahrscheinliches Scenario. PwC kenne derzeit kein Beispiel, bei dem das ausgenutzt wurde.