Ein Rückblick auf SAP-Sicherheitslücken im Jahr 2022
Das Jahr 2022 war für Onapsis Research Labs threat intelligence Onapsis Research Labs erneut ein ereignisreiches Jahr. Wir haben threat intelligence Kunden weiterhin aussagekräftige threat intelligence gestellt und die breite Öffentlichkeit darüber aufgeklärt, wie threat intelligence ihre SAP-Anwendungen und Unternehmen vor den zunehmenden Bedrohungen schützen können. Alle unsere Forschungsberichte und threat intelligence finden Sie hier. Für einen kurzen Überblick über die wichtigsten Höhepunkte des Jahres scrollen Sie einfach durch die untenstehende Zeitleiste für 2022 und stellen Sie sicher, dass Ihr Unternehmen vor diesen SAP-Sicherheitslücken geschützt ist.
Start ins Jahr 2022 mit Log4j
Am 9. Dezember 2021 wurde eine kritische Sicherheitslücke (CVE-2021-44228) in Apache Log4j, einer weit verbreiteten Java-Logging-Bibliothek, bekannt gegeben. Angesichts des Aufruhrs, der nach der Veröffentlichung entstand, und der hohen Anzahl an HotNews-Notizen, die SAP bereits zwei Tage nach dem offiziellen SAP-Patch-Day im Dezember veröffentlichte, wurde den CISOs und SAP-Basis-Teams weltweit klar, dass es eine arbeitsreiche Weihnachtszeit und ein herausfordernder Start ins Jahr 2022 werden würde. Dies spiegelte sich auch in den Statistiken zum SAP-Patch-Day im Januar wider, die eine Rekordzahl (20) an HotNews-Notizen verzeichneten.
Die Onapsis Research Labs ORL) arbeiteten rund um die Uhr daran, die Auswirkungen dieser Sicherheitslücke auf einige der am häufigsten genutzten SAP-Produkte zu untersuchen. Das Team nutzteCloud seine Analyse die Onapsis Threat Intelligence Cloud , eine Reihe von Sensoren zur Überwachung von Angriffsversuchen. Die endgültigen Ergebnisse dieser Analyse wurden Ende Januar veröffentlicht. Details finden Sie hier.
Die Zahl der Angriffsversuche verdeutlicht, wie wichtig es ist, alle betroffenen SAP-Anwendungen zu patchen. SAP-Anwendungen sind jedoch sehr komplex, und es ist eine große Herausforderung, alle verfügbaren Anwendungs- und Systemkonfigurationen zu berücksichtigen. Dies wird durch eine weitere Statistik unterstrichen – die Anzahl der seit Bekanntwerden der Sicherheitslücke auf dem SAP Help Portal veröffentlichten Dokumente zum Thema Log4j. 57 der 271 Dokumente wurden zuletzt im November/Dezember aktualisiert, was zeigt, dass das Thema Log4j für SAP-Kunden noch lange nicht abgeschlossen ist.
|
|
|
|
|
|
|
|
|
|
Wenn Sie weitere Unterstützung bezüglich der Log4j-Sicherheitslücke und der Auswirkungen auf Ihre SAP-Systeme benötigen, wenden Sie sich bitte an unser Team.
Die nächste Herausforderung: ICMAD-Sicherheitslücken
Während die SAP-Basis-Teams damit beschäftigt waren, die nacheinander veröffentlichten Log4j-Patches zu installieren, wurde die nächste kritische CVSS 10.0-Sicherheitslücke, bekannt als ICMAD (Internet Communication Manager Advanced Desync), von SAP im Rahmen des SAP-Patch-Days im Februar bekannt gegeben. Die Onapsis Research Labs das SAP Product Security Response Team (PSRT) haben gemeinsam drei kritische Sicherheitslücken entdeckt und behoben, die den Internet Communication Manager (ICM) von SAP betreffen. Die einzelnen ICMAD-Schwachstellen sind als CVE-2022-22536, CVE-2022-22532 und CVE-2022-22533 identifiziert – wobei die erste die höchstmögliche Risikobewertung von 10 von 10 Punkten erhielt, während die beiden anderen Bewertungen von 8,1 bzw. 7,5 erhielten.
Die Onapsis Research Labs nachweisen, dass Angreifer diese SAP-Sicherheitslücken im ICM nutzen konnten, um die Anfragen beliebiger SAP-Benutzer (einschließlich ihrer Sitzungen) auszunutzen und zu kapern und anschließend die Kontrolle über die SAP-Anwendung zu übernehmen. Darüber hinaus konnten Angreifer mithilfe neuer HTTP-Response-Smuggling-Techniken control von der SAP-Anwendung gesendeten control und den Angriff aufrechterhalten. Das bedeutet, dass ein Angreifer mit einer einzigen Anfrage in der Lage sein könnte, jede Sitzung und alle Anmeldedaten des Opfers im Klartext zu stehlen und das Verhalten der Anwendungen zu verändern.
Aufgrund der potenziellen Gefahren, die mit den ICMAD-Sicherheitslücken verbunden sind, haben zahlreiche internationale Organisationen wie die Cybersecurity and Infrastructure Security Agency (CISA), das Canadian Centre for Cybersecurity und das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) Warnungen herausgegeben. Im Rahmen des verantwortungsvollen Engagements von Onapsis für die globale SAP-Community Onapsis Research Labs die Onapsis Research Labs ein kostenloses Tool zum Scannen nach Schwachstellen Onapsis Research Labs , mit dem jeder SAP-Kunde seine gesamte SAP-Landschaft auf Anwendungen überprüfen kann, die von diesen Schwachstellen betroffen sind.
Spring4Shell ist kein Aprilscherz
Am 30. März 2022 wurden auf verschiedenen Websites und technischen Blogs Informationen zu einer neuen kritischen Zero-Day-Sicherheitslücke veröffentlicht, die den Kern des Spring Frameworks betrifft – ein äußerst weit verbreitetes Open-Source-Anwendungsframework für die platform in Unternehmensanwendungen platform . Glücklicherweise bedeutete dies angesichts der Anzahl der betroffenen SAP-Anwendungen nicht, dass es sich um ein weiteres Ereignis wie bei Log4j handelte. SAP stellte am Patch Day im April einen ersten Patch für SAP HANA Extended Application Services bereit. Die SAP-Sicherheitsnotiz Nr. 3170990 enthält eine Übersicht über alle betroffenen SAP-Anwendungen (Stand: 5. Dezember):
- Erweiterte Anwendungsdienste für SAP HANA
- SAP-Kundenkasse
- PowerDesigner Web
- SAP-Analysen zur Kundenrentabilität
- SAP Commerce
- SAP Business One Cloud
August: Die ICMAD-Sicherheitslücke wurde in den Katalog der bekannten ausgenutzten Sicherheitslücken der CISA aufgenommen
Am 18. August 2022 hat die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) die kritischste ICMAD-Sicherheitslücke – CVE-2022-22536 – in ihren Katalog bekannter ausgenutzter Sicherheitslücken (KEV) aufgenommen. Zwar sind zivile Bundesbehörden gemäß BOD 22-01 verpflichtet, alle im KEV aufgeführten Schwachstellen zu beheben, doch empfiehlt die CISA allen Organisationen dringend, unverzüglich Maßnahmen zu ergreifen, sofern sie dies nicht bereits getan haben.
Statistische Trends zum SAP-Patch-Day
Die Gesamtzahl von 211 SAP-Sicherheitshinweisen im Jahr 2022 entspricht einem Anstieg von 14 % gegenüber 2021. Diese Zahl wurde stark durch die große Anzahl an Sicherheitshinweisen im Zusammenhang mit Log4j beeinflusst. Zieht man die Hinweise zu diesem außergewöhnlichen Ereignis ab, verringert sich die Gesamtzahl auf 178, was einen neuen historischen Tiefstand darstellen würde.
Betrachtet man die Zahlen nach Priorität, lohnt es sich auch, separate Statistiken bereitzustellen – mit und ohne Log4j:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Die Onapsis Research Labs zur Behebung von 22 Sicherheitslücken Onapsis Research Labs , gegenüber 18 im Jahr 2021. Dieser Anstieg ist umso bemerkenswerter, als das Team an einer Vielzahl gemeinsamer Initiativen mit SAP im Zusammenhang mit Log4j, ICMAD und Spring4Shell beteiligt war.
Abschließende Gedanken
In den letzten 25 Jahren hat SAP immer mehr Open-Source-Bibliotheken eingeführt. Das Jahr 2022 hat eindrucksvoll gezeigt, welche Risiken mit diesem (notwendigen) Strategiewechsel verbunden sind. In diesem Jahr sahen sich SAP-Kunden mit einer Vielzahl kritischer Patches konfrontiert, die allein für zwei externe Bibliotheken veröffentlicht wurden. Umso wichtiger ist es, dass SAP-Sicherheitslücken nicht aus dem Blickfeld geraten. Unser Team von den Onapsis Research Labs weiterhin daran arbeiten, die weltweit führenden Marken potenziellen Angreifern immer einen Schritt voraus zu halten. Aber denken Sie daran: Selbst die kritischsten Patches sind wertlos, wenn sie nicht rechtzeitig implementiert werden.
Abonnieren Sie unseren Newsletter „Defender’s Digest“, um über die neuesten Entwicklungen im Bereich SAP-Sicherheit auf dem Laufenden zu bleiben.