5 Dinge, die Sie über die ICMAD-Sicherheitslücken in geschäftskritischen SAP-Anwendungen wissen sollten

Von:

16. Februar 2022

Am 19. August 2022 hat die CISA die ICMAD-Sicherheitslücke CVE-2022-22536 in ihren Katalog aufgenommen.

Letzte Woche haben wir bekannt gegeben, dass Onapsis und SAP gemeinsam eine Reihe von drei Sicherheitslücken identifiziert und behoben haben, die die Komponente „SAP Internet Communication Manager“ (ICM) in geschäftskritischen SAP-Anwendungen betreffen. Diese Sicherheitslücken wurden kurz als ICMAD („Internet Communication Manager Advanced Desync“) bezeichnet. Angesichts der weit verbreiteten Nutzung des SAP ICM in SAP-Landschaften weltweit erfordern die ICMAD-Sicherheitslücken bei den meisten SAP-Kunden sofortige Maßnahmen.

Nach der Veröffentlichung unseres Bedrohungsberichts hielten Mariano Nunez, CEO von Onapsis, und Richard Puckett, CISO bei SAP, eine Informationsveranstaltung zu diesen ICMAD-SAP-Sicherheitslücken ab. Sehen Sie sich die Veranstaltung an oder lesen Sie hier fünf Dinge, die Sie wissen sollten.

Jetzt ansehen:Executive Briefing von Onapsis und SAP zur Behebung der ICMAD-Sicherheitslücken in SAP

1. Das SAP ICM ist eine sehr verbreitete und häufig eingesetzte Komponente in SAP-Anwendungen.

Der SAP ICM ist eine wichtige Komponente eines SAP NetWeaver-Anwendungsservers. Er verbindet die SAP-Anwendung mit der Außenwelt (d. h. dem Internet). Der SAP ICM versteht und verarbeitet verschiedene Protokolle wie P4, IIOP und SMTP, doch einer seiner Hauptanwendungsfälle ist die Funktion als SAP-HTTP(S)-Server. Daher ist dieser Dienst in einer SAP-NetWeaver-Java-Anwendung standardmäßig immer vorhanden und verfügbar und wird benötigt, um Webanwendungen in SAP ABAP (d. h. Web Dynpro) auszuführen. Darüber hinaus ist der SAP ICM Teil des SAP Web Dispatchers, was bedeutet, dass er in der Regel zwischen den meisten SAP-Anwendungsservern und den Clients angesiedelt ist (wobei die Clients potenziell das Internet sein können). 

Die Onapsis Research Labs drei schwerwiegende, über das Netzwerk ausnutzbare Sicherheitslücken Onapsis Research Labs , die bei Ausnutzung durch einen Angreifer zur vollständigen Übernahme des Systems führen können. Die Ausnutzung dieser Schwachstellen ist einfach, erfordert keine vorherige Authentifizierung und keine besonderen Voraussetzungen, und die Payload kann über HTTP(S) gesendet werden. Das bedeutet, dass nicht gepatchte SAP-NetWeaver-Anwendungen (sowohl Java als auch ABAP), die über HTTP(S) erreichbar sind, anfällig sind, ebenso wie alle Anwendungen, die hinter dem SAP Web Dispatcher laufen, wie beispielsweise S/4HANA. 

2. Eine SAP-Anwendung muss nicht mit dem Internet verbunden sein, damit die Sicherheitslücke ausgenutzt werden kann.

Zwar dient der SAP ICM in der Regel als Verbindung zum Internet, wodurch schätzungsweise mehr als 10.000 mit dem Internet verbundene SAP-Anwendungen angreifbar sind, doch sind auch jene Anwendungen, die nicht mit dem öffentlichen Internet verbunden sind, weiterhin anfällig für Angriffe über diese Schwachstellen. Man denke beispielsweise an SAP-NetWeaver-Anwendungen (JAVA/ABAP), die einfach über HTTP erreichbar sind, oder an jede beliebige SAP-Anwendung, die hinter dem SAP Web Dispatcher läuft. 

3. Alle Defend von Onapsis Assess Defend verfügen bereits über die Möglichkeiten, ihre Unternehmen vor diesen kritischen Problemen zu schützen.

Die Platform Funktionen zur Schwachstellenanalyse, Erkennungsregeln und Warnmeldungen, um böswillige Aktivitäten, die auf diese spezifischen Schwachstellen sowie auf Tausende weitere abzielen, kontinuierlich zu überwachen. Mit der ersten Version vom Februar 2022 (2.2022.021) Defend alle Onapsis-Kunden mit Onapsis Assess Onapsis Defend die Möglichkeiten, ihre Unternehmen vor diesen kritischen Problemen zu schützen. Sollten Sie Fragen haben, wenden Sie sich bitte an Ihren Onapsis-Ansprechpartner.

4. Alle SAP-Kunden haben Zugang zu einem kostenlosen ICMAD-Scan-Tool von Onapsis.

Angesichts der Schwere dieser Sicherheitslücken möchte Onapsis sicherstellen, dass jeder SAP-Kunde die Möglichkeit hat, zu überprüfen, ob seine SAP-Anwendungen in seiner gesamten Infrastruktur für ICMAD anfällig sind. Onapsis Research Labs ein kostenloses Tool zum Scannen von Sicherheitslücken entwickelt, mit dem jeder SAP-Kunde seine Systeme überprüfen und seine Risikoexposition einschätzen kann. Dies wird jedem SAP-Kunden helfen, Maßnahmen zum Schutz seiner geschäftskritischen SAP-Anwendungen, die von diesen Sicherheitslücken betroffen sind, besser zu priorisieren. 

Diese kostenlose Anwendung können Sie hier herunterladen.  

5. Alle SAP-Kunden sollten die Sicherheitshinweise so schnell wie möglich umsetzen.

Angreifer verfügen über das Wissen und die Fähigkeiten, ungeschützte Unternehmensanwendungen zu kompromittieren. Frühere threat intelligence von SAP, CISA und Onapsis haben gezeigt, dass Angreifer innerhalb von 72 Stunden nach Veröffentlichung eines SAP-Sicherheitshinweises raffinierte Angriffe auf geschäftskritische SAP-Anwendungen starten. Angesichts dieser Tatsache und der Schwere dieser Schwachstellen empfehlen SAP, Onapsis und CISA betroffenen Unternehmen, die SAP-HotNews-Sicherheitshinweise Nr. 3123396 und Nr. 3123427 unverzüglich auf ihre betroffenen SAP-Anwendungen anzuwenden.

Alle SAP-Kunden, die die Platform derzeit nicht nutzen, können unser Open-Source-Tool verwenden, um ihr System auf Schwachstellen zu überprüfen, oder ein kostenloses persönliches Sicherheitsgespräch mit einem Onapsis-Experten vereinbaren, um assess potenzielles Sicherheitsrisiko assess .

Jetzt ansehen:Executive Briefing von Onapsis und SAP zur Behebung der ICMAD-Sicherheitslücken in SAP

ICMAD-Ressourcen

Stichwörter,
Über den Autor

Onapsis Research Labs

Onapsis Research Labs ist ein Team aus weltweit führenden Cybersicherheitsexperten, das sich der Aufdeckung und Abwehr von Bedrohungen in geschäftskritischen Anwendungen widmet. Als produktivster Mitwirkender an der Sicherheitsforschung von SAP und Oracle hat das Team über 1.000 Zero-Day-Schwachstellen entdeckt und bei deren Behebung geholfen. Seine threat intelligence die Onapsis Platformund stellt sicher, dass Unternehmen defend ERP-Landschaften vor den neuesten, raffinierten Angriffen defend können, bevor diese in der Praxis ausgenutzt werden.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen