Risiko-Analyse-Service für SAP-Nutzer
Onapsis hat mit seinem seit Anfang des Jahres angebotenen Risiko-Analyse-Service für SAP-Nutzer inzwischen SAP-Implementierungen von über 100 Anwenderunternehmen analysiert und eine Zwischenbilanz der Schwachstellen-Scans vorgelegt, wie silicon.de berichtete. Das Ergebnis der Amalyse zeigte:
- 480 Schwachstellen
- 142 davon nach CSSV- Kriterien (Common Vulnerability Scoring Systems) als kritisch oder hoch eingestuft
- Patches, die einen umgehenden Lückenschluss ermöglichen sollen dazu vorliegen.
Fernzugriff ist Achillesferse der SAP-Systeme
Aus der Onapsis Analyse geht unter anderem hervor, dass der Fernzugriff die Achillesferse der SAP-Systeme ist. Das bedeutet eine gravierende Schwachstelle. Sie ermöglicht Unbefugten:
- Zugriff auf SAP-Instanzen
- Zugriff auf administrative Dienste
- Zugriff auf RFC-Server
Auf diese Weise erlangte Informationen könnte man:
- abfangen
- auslesen
- schreiben
- löschen
- sowie Konfigurationsparameter abfangen, um damit dann weitere Angriffe vorzubereiten
Die untersuchten Systeme zeigten daneben Angriffsmöglichkeiten für:
- Man-in-the-middle-Angriffe
- Traffic Sniffing
- Denial-of-Service-Angriffe
- Sowie die Möglichkeit einer kompletten Kontrollübernahme
Die Bedeutung der Studienergebnisse
Zu den Ergebnissen der Studie kommentiert Mariano Nunez, CEO und Mitbegründer von Onapsis, in einer Pressemitteilung:
“Die Ergebnisse zeigen, dass in vielen Branchen in Sachen SAP-Sicherheit noch ein enormer Nachholbedarf bei der Überwachung der SAP-Sicherheit besteht. Schwachstellen in den SAP-Implementierungen führen zu einer potenziellen Gefährdung unternehmenskritischer Geschäftsprozesse und Daten”
Von den Schwachstellen betroffen sind Unternehmen aller Branchen. Bei Öl- und Gas-fördernden Unternehmen wurden 127 Schwachstellen entdeckt, bei Unternehmen der Luftfahrtbranche 145 Schwachstellen und in der Pharmaindustrie 138 Schwachstellen. Wobei die Schwachstellen am Fernzugriff am weitesten verbreitet sind.
Java-Komponente Invoker Servlet
Es ist die unzureichende Sicherung der Java-Komponente Invoker Servlet, die als Ursache für die Probleme gilt. Damit könnten sich Angreifer per Fernzugriff auf SAP-Java-Systeme einloggen und externe Authentifizierungsmechanismen umgehen und SAP-User anlegen um damit dann diverse betrügerische Aktivitäten durchzuführen. Diese Sicherheitslücke fand sich in über einem Drittel der 100 untersuchten Unternehmen, die aus den USA, Großbritannien, Deutschland, China, Indien, Japan und Südkorea stammen.
Onapsis bezeichnet die Situation als
“dramatisch und zugleich unverständlich, denn für diese Lücke existiert schon seit sechs Jahren ein SAP-Patch.”
Trotz zahlreicher Warnungen durch US-CERT sowie NTT Security wurden offenbar notwendige Aktualisierungen ignoriert.
Was Unternehmen tun sollten
Firmen sollten nun endlich die SAP Security Note 1445998 umsetzen und das Invoker Servlet deaktivieren. Laut Onapsis reichen einem Angreifer nämlich Informationen zu Domain, Hostname und IP-Adresse des SAP-Systems. Im Mai wies anlässlich der Warnung des US-CERT ein SAP-Sprecher nochmals darauf hin, dass alle seit 2010 veröffentlichen SAP-Anwendungen von der Schachstelle nicht betroffen sind. Da derartige Konfigurationsänderungen jedoch Probleme mit kundeneigener Software verursachen, sei die Funktion in Releases von SAP NetWeaver vor Version 7.20 nicht deaktiviert worden.
