Anonyme Behauptungen zur Sicherheit der Platform

Von:

28. Juni 2022

Onapsis ist seit über einem Jahrzehnt führend im Bereich der Absicherung geschäftskritischer Anwendungen. Wir sind sehr stolz auf unsere engagierten Forschungs- und Entwicklungsteams, die nicht nur Bedrohungen für SAP- und Oracle-Anwendungen weltweit aufdecken, sondern auch unsere eigene platform erweitern und verbessern. Wir betrachten die Sicherheit und den Datenschutz unserer platform entscheidend dafür, das Vertrauen unserer weltweiten Kunden zu gewinnen und zu bewahren. Daher legen wir an unsere Teams und unser Unternehmen höchste Maßstäbe an, um die Widerstandsfähigkeit unserer platform zu gewährleisten. Als Teil dieses Engagements für höchste Standards unterhält Onapsis einen robusten und ausgereiften Sicherheitsreaktionsprozess, der auf unseren langjährigen Erfahrungen in der Schwachstellenforschung und der ethischen Offenlegung bei den größten Softwareanbietern der Welt basiert. Daher nehmen wir alle an Onapsis gemeldeten Schwachstellenmeldungen sehr ernst. 

Am 28. Juni haben uns mehrere unserer Kunden kontaktiert und uns unaufgefordert E-Mails weitergeleitet, in denen behauptet wurde, man habe Kenntnis von einer „Studie“, die „Zero-Day-Schwachstellen“ in der lokal installierten Softwareversion der Platform beschreibe. Diese wurde auf einer Webseite veröffentlicht, weder an Onapsis noch an Sicherheitslisten weitergeleitet und von einer anonymen Person verfasst.

Wir messen allen Informationen über Sicherheitsbedrohungen, die unsere Kunden betreffen, höchste Bedeutung bei. Daher haben unsere internen Teams unverzüglich Maßnahmen im Rahmen unseres Programms zur Reaktion auf Sicherheitslücken ergriffen, um die Vorwürfe zu untersuchen und gegebenenfalls unsere Produkte und Kunden zu schützen.

Onapsis wurden fünf wesentliche Vorwürfe zur Kenntnis gebracht. Nachfolgend finden Sie die Ergebnisse sowie unsere Stellungnahme auf der Grundlage der Untersuchungen unserer Produktsicherheitsteams. 

Behauptung 0: Onapsis hat auf die gemeldeten Sicherheitslücken weder reagiert noch eine CVE dafür erstellt

Antwort von Onapsis: Ungültiger Anspruch

Der anonyme Autor hat weder versucht, dieses Problem an Onapsis zu melden, noch den Bericht über die üblichen Kanäle für die Offenlegung von Sicherheitsforschungsergebnissen (wie beispielsweise Full Disclosure) zu veröffentlichen. Auf unserer Website finden sich leicht auffindbare, klare Anweisungen dazu, wie Sicherheitslücken in Onapsis-Produkten an Onapsis gemeldet werden können.

Onapsis wurde am 28. Juni auf diese Vorwürfe aufmerksam gemacht und hat umgehend ein Taskforce-Team aus den Bereichen Produktsicherheit, Sicherheitsforschung, Technik und Produktmanagement zusammengestellt, um alle im Bericht aufgeführten Vorwürfe zu prüfen und zu klären. Nach einer gründlichen Analyse konnte das Team feststellen, dass es sich bei keinem der Vorwürfe tatsächlich um Sicherheitslücken handelte, wie im Folgenden näher erläutert wird.

Der Autor behauptete, wir hätten keine CVEs erstellt. In diesem Fall wurden keine Sicherheitslücken bei Drittanbietern festgestellt, sodass kein Grund besteht, CVEs zu erstellen.

Behauptung 1: Fehler bei der Identifizierung und Authentifizierung

Antwort von Onapsis: Ungültiger Anspruch

In der Meldung heißt es: „[Onapsis]-Konsolen, die SSH-Anfragen auf dem Standardport 22 akzeptieren, können über eine Shodan- oder Censys-Suche aufgespürt werden.“

Die architektonischen Empfehlungen von Onapsis an alle Kunden lauten – wie es bei jeder Art von Sicherheitsinfrastruktur üblich ist –, den Zugriff auf alle Verwaltungsschnittstellen zu beschränken und nur bestimmte Verwaltungssegmente oder VPNs zuzulassen. Darüber hinaus platform die platform die Zwei-Faktor-Authentifizierung („2FA“), und unsere Best-Practice-Empfehlungen sehen vor, dass alle Kunden die 2FA aktivieren.

Wir haben externe und interne Teams beauftragt, mehrere Überprüfungen durchzuführen, bei denen keine über das Internet zugänglichen Instanzen Platform Onapsis Platform „OP“) gefunden wurden. Zudem war auf dem Screenshot zu sehen, dass die angezeigten OP-Instanzen über selbstsignierte Zertifikate verfügten. Dies entspricht weder dem Standard noch unserer Empfehlung für Produktionsinstallationen der Onapsis Platform.  

Außerdem behauptet der anonyme Autor:„Man kann sich mit den generischen Benutzern ‚onapsis‘ oder ‚osp-admin‘ direkt per SSH auf den Zielservern anmelden.“

Das ist offensichtlich falsch. Das „onapsis“-Konto ist standardmäßig deaktiviert und muss manuell aktiviert werden. Wir empfehlen unseren Kunden, dieses Konto bei Bedarf zu aktivieren, die erforderlichen Vorgänge mit erhöhten Berechtigungen durchzuführen und das Konto anschließend wieder zu deaktivieren – ganz im Sinne der branchenüblichen Best Practices für das Privileged Account Management.

Behauptung 2: Fehlerhafte Control

Antwort von Onapsis: Ungültiger Anspruch

Der anonyme Autor behauptet, dass„PermitRootLogon in der Onapsis-Appliance auf ‚yes‘ gesetzt ist“. 

Dies ist eine weitere falsche Behauptung. Die Standardeinstellung für „PermitRootLogin“ ist „password-prohibit“. Der Root-Zugriff per Passwort ist standardmäßig nicht erlaubt.

Dieser Antrag bezieht sich auf die Möglichkeit, über SSH eine Verbindung zu einer Platform herzustellen und sich dort zu authentifizieren. Dies ist bei Appliances gängige Praxis und ermöglicht es Kunden, bei Bedarf eine Verbindung herzustellen und Supportmaßnahmen durchzuführen.

Wir haben verschiedene Maßnahmen ergriffen, um sicherzustellen, dass wir beim SSH-Zugriff den Grundsatz des minimalen Zugriffs befolgen. Das erwähnte Konto „osp-admin“ ist das Support-Konto und standardmäßig aktiviert. Bei der ersten Anmeldung (während der Installation) müssen Kunden ein eindeutiges Passwort für dieses Konto erstellen. Dieses Konto verfügt weder über Bash-Zugriff noch kann es einen sudo-Befehl ausführen.

Das onapsis-Konto ist standardmäßig deaktiviert und muss manuell aktiviert werden. Jeder Kunde muss bei der Installation die Passwörter für die Konten „osp-admin“ und „onapsis“ ändern. Die Passwörter müssen lang und komplex sein.

Behauptung 3: Offenlegung sensibler Daten

Antwort von Onapsis: Ungültiger Anspruch

Zu diesem Zeitpunkt hat der Forscher mehrere standardmäßig nicht aktivierte Funktionen genutzt, um Administratorzugriff auf das Gerät zu erlangen. Alle in diesem Abschnitt beschriebenen Vorgänge entsprechen dem erwarteten Verhalten. Wie bei jedem System haben Administratorbenutzer per Definition Zugriff auf bestimmte sensible Informationen. Nach eingehender Prüfung kam unser threat intelligence zu dem Schluss, dass keine damit verbundenen Sicherheitslücken vorliegen. 

Sie behaupten dann:„Auch der generische Admin-Benutzer in der Web-Benutzeroberfläche kann per Brute-Force-Angriff geknackt werden.“

Die Web-Benutzeroberfläche verfügt über mehrere integrierte Sicherheitsmaßnahmen, die Brute-Force-Angriffe für Angreifer unrentabel machen. Nach jeweils zehn (10) fehlgeschlagenen Anmeldeversuchen wird automatisch eine Zeitüberschreitung von zwei (2) Minuten ausgelöst. Zudem können Sicherheitsbenachrichtigungen aktiviert werden, die E-Mails zur Kontosicherheit an Benutzer senden, wenn sich beispielsweise deren Passwort oder Berechtigungen ändern oder die platform mehrere fehlgeschlagene Anmeldeversuche platform . Darüber hinaus empfiehlt Onapsis in seinen Best-Practice-Richtlinien für die Architektur die Aktivierung der Zwei-Faktor-Authentifizierung für die Benutzerauthentifizierung, wodurch Brute-Force-Angriffe auf Passwörter unwirksam werden.

Behauptung 4: Mängel bei der Sicherheitsprotokollierung und -überwachung

Antwort von Onapsis: Ungültiger Anspruch

Abschließend wird behauptet, dass keiner der Authentifizierungsversuche protokolliert wird oder innerhalb der platform verfügbar ist.

Auch dies ist unrichtig. Der Autor verwechselt das Fehlen von auditd (einem Programm zur Protokollierung von Audits) mit der Fähigkeit, sicherheitsrelevante Protokolle zu erstellen. Die Onapsis platform und speichert Details zu Anmeldeversuchen in der Protokolldatei „auth.log“.

Fazit   

Nach unserer derzeitigen Einschätzung sind alle Behauptungen, die in der anonymen „Studie“ aufgestellt werden, unwahr. 

Als Softwareanbieter, Sicherheitsforschungsteam und Anbieter von Sicherheitsprodukten ist es unsere Aufgabe, auf alle gemeldeten Sicherheitslücken gründlich und zügig zu reagieren. Wir verpflichten uns gegenüber unseren Kunden, Partnern und der Community, alle derartigen Meldungen ernst zu nehmen, unabhängig von ihrer Herkunft oder ihrer Stichhaltigkeit. Das Team von Onapsis hat diese anonymen Meldungen innerhalb eines Werktags gründlich analysiert. Wir sind zuversichtlich, dass dieser detaillierte Bericht die erforderliche Klarheit schafft, die unsere Kunden von uns gewohnt sind. 

Das Onapsis-Produktsicherheitsteam beobachtet die Lage weiterhin und wird diesen Blog bei Bedarf aktualisieren.

Bitte wenden Sie sich an Ihren Kundenbetreuer, technischen Kundenbetreuer oder an [email protected], wenn Sie Fragen haben oder mit unserem Team in Kontakt treten möchten.

Stichworte, , , , , ,
Über den Autor
Mariano Núñez

Mariano Núñez

Geschäftsführer und Mitbegründer

Als CEO und Mitbegründer von Onapsis bestimmt Mariano die strategische Ausrichtung des Unternehmens. Unter seiner Führung hat sich Onapsis zu einem der am schnellsten wachsenden Technologie- und Cybersicherheitsunternehmen weltweit entwickelt. Mit über 20 Jahren Erfahrung in der Cybersicherheitsbranche, sowohl als Führungskraft als auch als Cybersicherheitsexperte, war Mariano der Erste, der auf großen Konferenzen wie RSA, Black Hat und SANS öffentlich über Cybersicherheitsrisiken für ERP-Plattformen und deren Minderung referierte. Zu Marianos Beiträgen zur Cybersicherheits-Community zählen die Entwicklung der ersten Open-Source-Frameworks für SAP- und ERP-Penetrationstests sowie die Aufdeckung kritischer Zero-Day-Schwachstellen in Anwendungen von SAP, Oracle, IBM und Microsoft. Marianos Erkenntnisse werden regelmäßig in großen Medien wie CNN, Reuters, dem Wall Street Journal, Nasdaq, Fortune und der New York Times veröffentlicht.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen