Das offensichtliche Problem, das niemand ansprechen will: Ältere, ungepatchte SAP-Sicherheitslücken stellen nach wie vor eine Bedrohung dar

Letzte Woche veröffentlichten Forscher des Incident-Response-Teams von Sygnia einen Bericht, in dem sie die Aktivitäten einer Hackergruppe namens „Elephant Beetle“ detailliert beschreiben. Der Bericht basiert auf Beobachtungen aus über zwei Jahren und beschreibt die Angriffsstrategien der Gruppe, die zum Diebstahl von Millionen von Dollar bei Organisationen des lateinamerikanischen Finanzsektors führten. 

Weitere Belege dafür, dass Angreifer immer raffiniertere Angriffe starten 

Was Elephant Beetle von den unzähligen anderen Schlagzeilen der letzten Zeit (z. B. Ransomware) unterscheidet, ist die Art ihrer Angriffe – methodisch, raffiniert und geduldig. Ihre Taktiken, Techniken und Vorgehensweisen spiegeln den Trend wider, über den Onapsis Research Labs SAP im vergangenen Jahr gemeinsam berichteten: Angreifer verfügen über fundiertere Kenntnisse und Fähigkeiten, die es ihnen ermöglichen, raffiniertere Angriffe auf komplexere und ungepatchte geschäftskritische Anwendungen durchzuführen. threat research eigene threat research Onapsis Research Labs threat research Hinweise auf Hunderte von Hands-on-Keyboard-Sitzungen, die auf anfällige SAP-Systeme abzielten, darunter Beispiele für Angreifer, die sich aus den vorhandenen Ressourcen versorgten, mehrere Schwachstellen miteinander verknüpften und nach der Exploitation sogar Patches installierten, um ihre Spuren zu verwischen. Dieser Trend macht deutlich, dass die Einstiegspunkte geschlossen werden müssen, die Angreifer nutzen, um überhaupt erst einzudringen – denn sobald sie einmal drinnen sind, bleiben sie auf Dauer und ihre Bemühungen erweisen sich als erfolgreich. 

Siehe auch: Aktuelle Cyberangriffe auf geschäftskritische SAP-Anwendungen

Alte Sicherheitslücken bereiten Unternehmen weiterhin Probleme 

Zwei der von Elephant Beetle ausgenutzten Sicherheitslücken betreffen SAP-NetWeaver-Java-Systeme: 

• SAP NetWeaver Invoker Servlet-Sicherheitslücke (CVE-2010-5326)
• SAP NetWeaver ConfigServlet – Ausführung von Remote-Code (EDB-ID-24963)

Das Erste, was Sie über diese beiden Sicherheitslücken wissen sollten, ist, dass sie schon ziemlich alt sind. Tatsächlich war CVE-2010-5326 die allererste US-CERT-Warnung zum Thema Cybersicherheit bei SAP-Anwendungen, die bereits im Jahr 2016 veröffentlicht wurde. (Und diese US-CERT-Warnung bezog sich, obwohl sie 2016 herausgegeben wurde, auf eine bereits fünf Jahre zuvor behobene Schwachstelle!) Das Zweite, was Sie über diese beiden Schwachstellen wissen sollten, ist, dass es Patches dafür gibt. 

Ja, dies ist also ein weiteres Beispiel dafür, wie alte, ungepatchte Sicherheitslücken wieder auftauchen und Ihnen Probleme bereiten. Vor kurzem gab es Schlagzeilen über einen Ransomware-Angriff auf ein Versorgungsunternehmen im Zusammenhang mit der RECON-Sicherheitslücke, die erstmals Onapsis Research Labs Juli 2020 von Onapsis Research Labs bekannt gegeben wurde, und es mangelt nicht an weiteren ähnlichen Fällen. Das Patchen von Anwendungen und das Schwachstellenmanagement können eine Herausforderung sein und viel Zeit in Anspruch nehmen (müssen es aber nicht), doch nur weil eine Schwachstelle alt ist, bedeutet das nicht, dass sie kein Risiko mehr für Ihr Unternehmen und dessen finanzielle Gesundheit darstellt. Sie können davon ausgehen, dass raffiniertere, methodisch vorgehende Angreifer einen Weg finden werden, sie auszunutzen, wenn sich ihnen die Gelegenheit bietet. 

Als weiteren Beleg hierfür Onapsis Research Labs seine Threat Intelligence Cloud Onapsis Research Labs Cloud die Aktivitäten im Zusammenhang mit den beiden im Sygnia-Bericht erwähnten SAP-NetWeaver-Java-Sicherheitslücken analysiert. Dabei stellte das Unternehmen Folgendes fest:

• Über 350 Angriffsversuche seit Januar 2020
• Die überwiegende Mehrheit der von Onapsis beobachteten Exploit-Versuche stammt aus Asien und den USA (im Gegensatz zur „Elephant Beetle“-Aktivität, die sich vor allem auf Lateinamerika konzentrierte, was darauf hindeutet, dass es sich hierbei nicht um einen Einzelfall, sondern um ein globales Phänomen handelt)

Zu viele Schwachstellen, zu wenig Zeit

Die Geschichte um den „Elephant Beetle“ wirft ein viel größeres Problem hinsichtlich des Schwachstellenmanagements für geschäftskritische Anwendungen auf. Auch wenn diese Bedrohungsaktivität nur zwei SAP-bezogene Schwachstellen betraf, sollte man bedenken, dass SAP jeden Monat neue Patches veröffentlicht. Betrachtet man allein die kritischsten Schwachstellen, für die zwischen Januar 2020 und Dezember 2021 Patches veröffentlicht wurden, so wurden folgende Patches herausgegeben:

• 80 Patches für Sicherheitslücken mit einem CVSSv3-Wert zwischen 8,5 und 10 sowie 
• 20 Patches mit einem CVSSv3-Wert von 10. 

Das sind im Durchschnitt etwa drei kritische Sicherheitslücken, die SAP über einen Zeitraum von zwei Jahren alle 30 Tage behoben hat! Angesichts dieses Umfangs ist es nicht verwunderlich, dass in den SAP-Landschaften von Unternehmen möglicherweise ältere, ungepatchte kritische Schwachstellen lauern. Bedenken Sie zudem, dass in dieser Zahl kritische Exploits aufgrund von Fehlkonfigurationen nicht enthalten sind, wie beispielsweise die 10KBLAZE-Exploits, die erstmals von den Onapsis Research Labs gemeldet wurden und auf Fehlkonfigurationen von SAP-NetWeaver-Installationen abzielten.

Leider sind all diese kritischen Sicherheitslücken nach wie vor bevorzugte Ziele für Angreifer, die darauf aus sind, sie auszunutzen und als Einstiegspunkte für grundlegende Unternehmensanwendungen zu nutzen. (Einige dieser Sicherheitslücken werden auch von der CISA im Verzeichnis der derzeit ausgenutzten Sicherheitslücken hervorgehoben, darunter CVE-2010-5326, CVE-2020-6287 oder CVE-2020-6207.)

Wenn uns der Fall „Elephant Beetle“ eines gezeigt hat, dann ist es, dass wir den Sicherheitsstatus unserer geschäftskritischen Anwendungslandschaft gründlich unter die Lupe nehmen müssen. Für Unternehmen ist es von größter Bedeutung, ihre SAP-Sicherheitsprozesse zu stärken und SAP besser in ihre Prozesse zum Schwachstellenmanagement und zur Reaktion auf Vorfälle zu integrieren, um es Angreifern deutlich schwerer zu machen, einen ersten Zugriff zu erlangen. Erst dann werden wir echte Fortschritte bei der Minimierung des Risikos dieser kritischen Schwachstellen und beim Schutz unserer wichtigsten Unternehmensressourcen erzielt haben. 

Weitere Informationen zum Schwachstellenmanagement und zu geschäftskritischen Anwendungen finden Sie in unserem entsprechenden Whitepaper. Um die aktuelle Risikosituation Ihres Unternehmens zu ermitteln, wenden Sie sich bitte an einen Onapsis-Sicherheitsexperten unter www.onapsis.com/request-an-assessment/cyber-risk. 

On-Demand-Webinar

Der Elefantenkäfer im Raum stellt nach wie vor eine Bedrohung dar

Seien Sie dabei und erfahren Sie, wie eine hochentwickelte Hackergruppe namens „Elephant Beetle“ SAP-Sicherheitslücken ausnutzte, um Millionen von Dollar von großen Finanzinstituten zu erbeuten. Wir werden ihre Vorgehensweise beleuchten und Ihnen praktische Tipps geben, wie Sie Ihre SAP-Sicherheitsprozesse stärken und Angriffe dieser Art im Falle einer Sicherheitsverletzung abwehren können. In dieser Sitzung werden wir folgende Themen behandeln: 

• Überblick über die Angriffstrends und die Bedrohungslage im Jahr 2022
• Ein detaillierter Einblick in eine konkrete case study einem „Elephant Beetle“-Angriff und die Reaktion darauf  
• Wichtige Maßnahmen, die Sie ergreifen können, um Ihr Unternehmen vorzubereiten und solche Angriffe abzuwehren
• Die besten Ressourcen zur Unterstützung Ihrer Sicherheitsmaßnahmen

Jetzt ansehen.