ERP-Systeme sind anfällig für dasselbe Problem, das den Datenleck bei Capital One verursacht hat
Mittlerweile weiß so gut wie jeder von dem Datenleck bei Capital One. Was den InfoSec- und ERP-Administrationsteams jedoch möglicherweise nicht bewusst ist, ist, wie anfällig ihre wichtigsten Geschäftsanwendungen für einen ähnlichen Angriff sein könnten.
Sowohl SAP als auch die Oracle E-Business Suite (EBS) können für dieselbe Sicherheitslücke anfällig sein, die kürzlich den Hackerangriff auf Capital One verursacht hat, sofern zuvor veröffentlichte Patches nicht installiert wurden. Laut Brian Krebs in seinem aktuellen Blogbeitrag„What We Can Learn from the Capital One Hack“ war eine falsch konfigurierte Web Application Firewall (WAF) eine der Hauptursachen für den Hackerangriff. Die WAF, die Brian Krebs als die Open-Source-WAF ModSecurity identifizierte, verfügte nicht über aktivierte Regeln für Server Side Request Forgery (SSRF).
SSRF ist eine bekannte Taktik zur Ausnutzung von Webanwendungen. Die Onapsis Research Labs von Oracle für mehrere SSRF-CVEs speziell für Oracle EBS gewürdigt. Die jüngste CVE war Teil des Oracle-Sicherheitsupdates vom Juli 2019. CVE-2019-2828 wurde von Onapsis entdeckt und weist einen CVSS-Wert von 9,6 auf (9,6 von 10, was als kritisch eingestuft wird). Weitere Details zu dieser CVE finden Sie hier in unserem Blogbeitrag zum Juli-CPU von Oracle.
Oracle EBS ist nicht das einzige ERP-System mit SSRF-Schwachstellen –CVE-2018-2445 ist ein Beispiel für eine kritische SSRF-Schwachstelle mit einem CVSS-Wert von 9,6 in SAP (BusinessObjects). Im Jahr 2018 gab es insgesamt drei SSRF-CVEs für SAP. SAP hat diese Schwachstellen in früheren SAP-Notes,SAP-Note 2655250 und SAP-Note 2680834, behoben.
In seinem Artikel zitiert Brian Kebs Evan Johnson, Leiter des Produktsicherheitsteams bei Cloudflare, mit den Worten: „SSRF ist mittlerweile die schwerwiegendste Sicherheitslücke für Unternehmen, die öffentliche Clouds nutzen.“ SSRF stellt für jedes Unternehmen, das Oracle EBS oder SAP in der cloud einsetzt, ein ernstes Problem dar cloud es liegt in Ihrer Verantwortung, die von Oracle und SAP bereitgestellten Sicherheitspatches unverzüglich zu installieren.
Darüber hinaus empfiehlt Oracle, ModSecurity – dieselbe WAF, die auch Capital One einsetzte – für Oracle EBS zu aktivieren. Wie alle Sicherheitstools kann auch ModSecurity, sofern es ordnungsgemäß konfiguriert und eingesetzt wird, einen hervorragenden Beitrag zu einer umfassenden, mehrschichtigen Sicherheitslösung für Oracle EBS leisten.
Was sollten Oracle-EBS- und SAP-Anwender jetzt tun?
Für Unternehmen, die Oracle EBS und SAP einsetzen, insbesondere solche, deren ERP-Module im Internet bereitgestellt werden und/oder in privaten oder öffentlichen Clouds gehostet werden, erfordert der Hackerangriff auf Capital One sofortige Aufmerksamkeit. Es ist durchaus zu erwarten, dass der Erfolg des Angriffs auf Capital One andere Angreifer dazu ermutigen wird, ähnliche Exploits zu versuchen. InfoSec- und ERP-Administrationsteams sollten überprüfen, ob sie eine WAF einsetzen und ob diese über Regeln für SSRF verfügt. Noch wichtiger ist, dass Kunden sicherstellen, dass alle Hersteller-Patches installiert sind – insbesondere solche, die SSRF-Schwachstellen beheben.
Wie kann Onapsis helfen?
Die platform Ihre ERP-Systeme vor SSRF-Angriffen, indem sie überprüft, ob Patches installiert sind, sicherstellt, dass die Konfigurationsgrundlagen den empfohlenen Best Practices entsprechen, und die Systeme überwacht, um verdächtige Aktivitäten zu erkennen.
Um herauszufinden, ob Ihre Oracle EBS- oder SAP-Systeme für SSRF anfällig sind, wenden Sie sich an Onapsis und fordern Sie eine „Business Risk Illustration“ an – eine kostenlose Risikobewertung, die kritische Schwachstellen in Ihren ERP-Systemen aufdeckt, die sich auf Sicherheit und Compliance auswirken können. Wenn Sie die Black Hat 2019 besuchen, schauen Sie doch an unserem Stand Nr. 700 vorbei, und auf der Oracle Open World finden Sie uns am Stand Nr. 408!