PwC-Tool gefährdet möglicherweise SAP-Systeme

Der deutsche Sicherheitsspezialist ESNChat Informationen zu einem schwerwiegenden Sicherheitsleck in einem Tool von PricewaterhouseCoopers für SAP-Systeme veröffentlich. Das deutsche Sicherheitsforschungsunternehmen hat den Fehler im Automated Controls Evaluator (ACE) von PricewaterhouseCooper entdeckt.

Das Tool extrahiert Daten zur Sicherheit und Konfiguration eines SAP-Systems. Mit diesen Daten werden dann Reports generiert, über die Sicherheitsadministratoren bei der Sicherung der Systeme unterstützt werden sollen. So lassen sich Schlupflöcher identifizieren, die Dritte missbrauchen können, um damit auf die Systeme zuzugreifen. Auch privilegierte Zugriffe oder Konflikte bei der “Segregation of Duties” sollen über das Tool identifizierbar sein.

Exploit von PwCs Automated Controls Evaluator (ACE) durch ESNC. Hier wurde ein neuer User mit allen Rechten auf einem System angelegt. (Bild: ESNC)

Doch genau dieses Tool soll die betreuten Systeme gefährden, so ESNC in einem Advisory. Laut Hersteller verändere ACE das produktive Systeme nicht. Problem aber sei, dass ACE statt dessen ein Sicherheitsleck aufweist, dass es erlaubt, Remote auf einem SAP-System ein bösartiges ABAP-File auszuführen. Die Angriffe können lokal über die SAPGui oder über ICF-Services wie WebGui remote über das Internetprotokoll ausgeführt werden. Allerdings müsse sich der Angreifer dafür authentifizieren.

ESNC empfiehlt, gezielt nach missbräuchlichen Verwendungen des Programms zu fahnden und zu einer nicht verwundbaren Version zu wechseln. Anwender der ESNC-Lösung Enterprise Threat Monitor seien seit August vor dem Leck geschützt.

Laut ESNC können Angreifer, abhängig davon, in welchen Modul oder Bereich ACE installiert ist, Buchhaltungsdokumente oder Finanzergebnisse manipulieren. Auch Kontrollen für die Segregation of Duties wie auch Change-Management-Controls lassen sich unter Umständen damit umgehen.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Das erlaube möglicherweise Betrug, Diebstahl oder Manipulation von sensiblen Daten, etwa Masterdata von Konten und Lohninformationen der Personalabteilung, unautorisierte Zahlungen und den Abfluss von Geld, warnen die Sicherheitsexperten. Darüber hinaus könnten die Angreifer Hintertüren setzen, auf das System zugreifen, das System herunterfahren oder auch Änderungen am System durchführen, die die SAP-Installation inoperabel machen. Der Fehler betreffe die Version 8.10.304 aber auch ältere Versionen könnten davon betroffen sein. Die Sicherheitsexperten bewerten das Leck mit dem CVSS-Basescore 9.9.

Bereits im August, so der Sicherheitsspezialist, hätte man Kontakt mit PwC aufgenommen. Anfang September hätten Vertreter von ESNC noch einmal nachgefragt, ob bereits ein Patch vorliege und wenige Tage später dann eine Unterlassungserklärung von PwC zugestellt bekommen. Im November hätte ESNC noch einmal nachgeforscht, ob und wie ein Patch geplant sei. Auch in diesem Fall hätten die Sicherheitsexperten eine Unterlassungserklärung zugesandt bekommen. Daraufhin habe sich das Sicherheitsunternehmen entschieden, das Leck publik zu machen.

Ausgewähltes Whitepaper

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Auf Anfrage des britischen Brachendienstes The Register erklärte ein Sprecher von PwC, dass der Code, auf den dieses Advisory ziele, nicht in den Versionen vorhanden sei, die bei Kunden im Einsatz sind. Daher beschreibe dieses Advisory ein hypotetisches und sehr unwahrscheinliches Scenario. PwC kenne derzeit kein Beispiel, bei dem das ausgenutzt wurde.

Lesen Sie auch : Angriffsziel ERP
Redaktion

Recent Posts

Intergermania Transport: KI-Lösung optimiert Rechnungsmanagement

Transportunternehmen automatisiert Belegerfassung mit KI und profitiert von 95 Prozent Zeitersparnis.

1 Stunde ago

Generative KI: Mangel an kompetenten Entwicklern und Know-how

Studie zeigt: Bei der Implementierung und Nutzung von generativer KI im industriellen Umfeld besteht noch…

2 Stunden ago

Schatten-KI: Generative KI sicher integrieren

Die Einführung von KI in Unternehmen läuft oft noch zögerlich. Diese Zurückhaltung öffnet ungewollt die…

3 Tagen ago

Angriffsziel ERP

Eine aktuelle Studie von Onapsis zeigt: 9 von 10 Ransomware-Angriffe betrafen ERP-Systeme.

3 Tagen ago

Intelligente DDoS-Abwehr mit KI

Angreifer nutzen zunehmend raffinierte Techniken, um ihre Angriffe zu verschleiern und adaptive Angriffsmuster einzusetzen, warnt…

5 Tagen ago

Energieverbrauch von Rechenzentren im Blick

ESRS, CSRD, EnEfG: Wer die gesetzlichen Nachhaltigkeits-Regularien erfüllen will, braucht Transparenz über den Energieverbrauch und…

6 Tagen ago