Neue kritische öffentliche Exploits gefährden SAP-Anwendungen

Von:

2. Mai 2019

Onapsis veröffentlicht einen Bedrohungsbericht und gibt Tipps zum Schutz

Als wir erfuhren, dass in einem öffentlichen Forum mehrere neue Exploits für SAP-Anwendungen verfügbar waren, haben wir sofort gehandelt. Wir haben bereits alle unsere Kunden über diese schwerwiegende Bedrohung informiert und darüber, wie wir mit unsererOnapsis Security Platform Ihren Schutz gewährleisten können. Auch allen anderen SAP-Anwendern stehen wir gerne zur Seite. Das ist unsere Mission, und wir teilen Ihnen mit, was Sie heute tun können – einschließlich der Veröffentlichung von zwei Open-Source-Snort-Signaturen für Ihre Firewalls und IPS/IDS.

Diese als„10KBLAZE“bezeichneten Exploits zielen nicht auf Schwachstellen im SAP-Code selbst ab, sondern auf administrative Fehlkonfigurationen von SAP-NetWeaver-Installationen, einschließlich S/4HANA. Diese Fehlkonfigurationen werden durch SAP-Sicherheitshinweise behoben, die bereits seit mehr als 10 Jahren verfügbar sind.

Warum sind Sie gefährdet?
Unser Forschungsteam geht davon aus, dass etwa 900.000 Systeme von diesen Fehlkonfigurationen betroffen sind. Die Exploits können zu einer vollständigen Kompromittierung der platform zur Löschung aller Geschäftsanwendungsdaten führen, einschließlich der Änderung oder Extraktion hochsensibler und regulierter Informationen aus Anwendungen wie SAP Business Suite, SAP ERP, SAP CRM, SAP HCM, SAP PLM und anderen. „10KBLAZE“ kann von einem entfernten, nicht authentifizierten Angreifer ausgeführt werden, der lediglich Netzwerkzugriff auf das System hat.

Warum ist dies so kritisch?
Die Auswirkungen und Risiken für Ihr Unternehmen, die durch diese Sicherheitslücken entstehen, können erheblich sein. Zu den Risiken gehört, dass Angreifer im SAP-System neue Benutzer mit beliebigen Berechtigungen anlegen, wodurch sie kritische und sensible Geschäftsdaten einsehen und ändern können (z. B. persönliche Daten von Mitarbeitern, Jahresabschlüsse, Banküberweisungs- und Routing-Prozesse, Patientenakten, Zeitpläne für kritische Infrastruktur und Energieverteilung sowie Dosierungsmengen von Medikamenten). Angreifer können „10KBLAZE“ auch nutzen, um vollständigen Zugriff auf Datenbanken zu erlangen, SAP-Systeme offline zu schalten und geschäftskritische sowie regulierte Informationen dauerhaft zu löschen.

Die Vertraulichkeit, Integrität und Verfügbarkeit aller in diesen Systemen und den entsprechenden Datenbanken gespeicherten Daten sind durch diesen Exploit gefährdet.

So schützen Sie sich v
– ganz gleich, ob Sie Onapsis-Kunde sind oder nicht: Unser Ziel ist es, Ihre SAP-Systeme zu schützen. Unsere Onapsis Research Labs und unsere branchenführende Onapsis Security Platform diese Mission. Wenn wir kritische Schwachstellen und Exploits entdecken oder darauf hingewiesen werden, ergreifen wir zudem die entsprechenden Maßnahmen, um Sie zu schützen. So schützen Sie sich vor den „10KBLAZE“-Exploits:

  • Laden Sie unseren Onapsis-Sicherheitshinweis herunter und lesen Sie ihn – 10KBLAZE: Schutz vor einem Cyber-Exploit, der Finanzberichte „verbrennen“ kann
  • Wenden Sie die SAP-Sicherheitshinweise Nr. 821875 (2005), Nr. 1408081 (2009) und Nr. 1421005 (2010) an. SAP-Kunden können überdas SAP Launchpadauf die Inhalte der Sicherheitshinweise zugreifen (Anmeldung erforderlich).
  • Falls Sie nicht über die Onapsis Security Platform verfügen, implementieren Sie die Erkennungsfunktionen mithilfe der Snort-Signaturregeln in Ihren Firewalls und IPS/IDS-Geräten. Wir stellen die Signaturen für bekannte Firewall-Anbieter wie Cisco, FireEye und Palo Alto bereit.
  • Wenden Sie sich an Onapsis und lassen Sie eine Bestandsaufnahme durchführen, um festzustellen, ob diese Fehlkonfigurationen auf Ihren Systemen Sicherheitslücken darstellen

Onapsis-Kunden können in der Onapsis Security Platform Folgendes tun:

  • Finden Sie heraus, ob Sie von dieser Fehlkonfiguration betroffen sind
  • Überprüfen Sie die Vorfallberichte, mit denen SAP-Instanzen auf Anzeichen des Exploits überwacht werden, um zu verhindern, dass Konfigurationen in einen unsicheren Zustand zurückfallen  

Wir sind für Sie da und freuen uns, wenn Sie sich bei uns melden. Sie müssen kein bestehender Onapsis-Kunde sein, um mit uns in Kontakt zu treten. Bitte lesen Sie den Onapsis Threat Advisory, laden Sie die Snort-Signaturen herunter und implementieren Sie sie, und beauftragen Sie uns noch heute mit einem Discovery-Service.

Stichworte, , ,
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen