Neuer SAP-Exploit im Internet veröffentlicht: So schützen Sie sich
Die Onapsis Research Labs einen funktionsfähigen Exploit identifiziert, der SAP betrifft und auf GitHub veröffentlicht wurde, wodurch er für böswillige Zwecke öffentlich zugänglich ist. Es handelt sich um einen voll funktionsfähigen Exploit, der die Sicherheitslücke CVE-2020-6207 ausnutzt, eine fehlende Authentifizierungsprüfung im EEM Manager, einer Komponente des SAP Solution Manager (SolMan). Ein erfolgreicher Angriff unter Ausnutzung dieser Schwachstelle würde die geschäftskritischen SAP-Anwendungen, Geschäftsprozesse und Daten eines Unternehmens gefährden – mit Auswirkungen auf die Cybersicherheit und die Einhaltung gesetzlicher Vorschriften.
Während Exploits regelmäßig online veröffentlicht werden, war dies bei SAP-Sicherheitslücken bislang nicht der Fall, da es nur wenige öffentlich zugängliche Exploits gab. Die Veröffentlichung eines öffentlichen Exploits erhöht die Wahrscheinlichkeit eines Angriffsversuchs erheblich, da sich der Kreis potenzieller Angreifer dadurch nicht mehr nur auf SAP-Experten oder Fachleute beschränkt, sondern auch auf „Script-Kiddies“ oder weniger erfahrene Angreifer ausgeweitet wird, die nun auf öffentlich zugängliche Tools zurückgreifen können, anstatt eigene zu entwickeln.
Die betroffene platform, SAP SolMan, ist ein Verwaltungssystem, das in jeder SAP-Umgebung zum Einsatz kommt (vergleichbar mit Active Directory unter Windows). Der Zweck von SolMan besteht darin, die Verwaltung aller SAP- und Nicht-SAP-Systeme innerhalb einer SAP-Landschaft zu zentralisieren. Als Verwaltungslösung übernimmt es Aufgaben wie die Implementierung, den Support, die Überwachung und die Wartung aller geschäftskritischen SAP-Anwendungen des Unternehmens, darunter ERP, CRM, HCM, SCM, BI, Finanzwesen und andere. Alle mit SolMan verbundenen Systeme werden auch als Satellitensysteme bezeichnet. Aufgrund seiner Beschaffenheit unterhält es daher Verbindungen und Vertrauensbeziehungen zu jedem SAP-System in der gesamten Landschaft. Wenn ein Angreifer Zugriff auf SolMan erlangt, könnte er jedes damit verbundene Geschäftssystem kompromittieren. Da SAP SolMan jedoch keine Geschäftsinformationen enthält, wird es in Bezug auf die Sicherheit leider oft übersehen; in einigen Unternehmen unterliegt es nicht denselben Patch-Richtlinien wie andere Systeme.
Anfang 2020 stellten Onapsis Research Labs (Pablo Artuso und Yvan Genuer) fest, dass nicht authentifizierte Angreifer aus der Ferne in Standardkonfigurationen Betriebssystembefehle auf den Satellitensystemen ausführen und vollständige Zugriffsrechte auf die zugehörigen SAP-Systeme erlangen konnten. Diese Sicherheitslücke wurde von SAP nach dem Onapsis-Bericht im März 2020 ordnungsgemäß behoben (SAP-Sicherheitshinweis Nr. 2890213), sodass SAP-Kunden, die über die entsprechenden Patches verfügen, von diesem Exploit nicht betroffen sein sollten. Es ist wichtig, sicherzustellen, dass Sie den Patch ordnungsgemäß installiert haben. Lesen Sie die folgenden Abschnitte, um zu überprüfen, ob Sie geschützt sind, wie Sie feststellen können, ob Sie angegriffen wurden, und um weitere Details darüber zu erfahren, wie die Nutzung dieses Exploits in Ihrer Umgebung kritische Geschäftsprozesse, Daten und die Vertraulichkeit gefährden kann.
Es ist wichtig zu erwähnen, dass unser Team seit der Veröffentlichung des Exploits aktive Scan-Aktivitäten festgestellt hat, bei denen nach dieser spezifischen Sicherheitslücke gesucht wird.
Welche Auswirkungen hat dies auf das Geschäft?
Diese Sicherheitslücke wird mit einem CVSSv3-Wert von 10,0 (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H) bewertet, dem höchstmöglichen Wert. Sie betrifft SAP SolMan und kann von nicht authentifizierten Angreifern aus der Ferne ausgenutzt werden, die Zugriff auf den SolMan-HTTP(s)-Port haben. Sie würde zudem die Ausführung von Betriebssystembefehlen in den betroffenen SolMan-SMD-Agenten ermöglichen. Diese Schwachstelle wurde von den Onapsis-Forschern Pablo Artuso und Yvan Genuer entdeckt und an SAP gemeldet, woraufhin SAP einen HotNews-Sicherheitshinweis /Patch veröffentlichte.
Eine erfolgreiche Ausnutzung könnte es einem nicht authentifizierten Angreifer aus der Ferne ermöglichen, Aufgaben mit hohen Administratorrechten auf den verbundenen SAP-SMD-Agenten auszuführen (auch mit SolMan verbundene Satellitensysteme können betroffen sein). Es ist nicht möglich, alle potenziellen Aktionen aufzulisten, die bei einer Ausnutzung in den Systemen durchgeführt werden könnten, da control mit Administratorrechten control den Systemen oder die Ausführung von Betriebssystembefehlen die Möglichkeiten für einen Angreifer im Grunde genommen unbegrenzt machen. Dennoch können einige (unter anderem) dieser böswilligen Aufgaben in den zuvor beschriebenen Ausnutzungsszenarien durchgeführt werden:
- Das Herunterfahren eines beliebigen SAP-Systems in der Landschaft (nicht nur SAP SolMan)
- Dies führt zu control IT control , die sich auf die finanzielle Integrität und den Datenschutz auswirken und Verstöße gegen gesetzliche Vorschriften wie Sarbanes-Oxley (SOX), die DSGVO und andere zur Folge haben
- Das Löschen von Daten in den SAP-Systemen, einschließlich wichtiger Daten, die zu Betriebsstörungen führen können
- Die Zuweisung von Superuser-Berechtigungen (z. B. SAP_ALL) an bestehende oder neue Benutzer, wodurch diese Benutzer Geschäftsvorgänge ausführen können, für die normalerweise spezifische Berechtigungen erforderlich wären, um andere Kontrollen zur Aufgabentrennung (SoD) zu umgehen
- Auslesen sensibler Daten aus der Datenbank, einschließlich personenbezogener Daten von Mitarbeitern und Kunden
Bleiben diese Sicherheitslücken im System ungepatcht, würde dies den Compliance-Prozess beeinträchtigen, da Finanz- und Buchhaltungsdaten verändert werden können (SOX) oder sensible Informationen aus der Datenbank ausgelesen werden können (DSGVO, HIPAA). Zudem enthalten einige andere Richtlinien, wie beispielsweise NIST, control , die sich auf diese Schwachstelle beziehen, wie z. B. AC-1.70 mit dem Titel „Zulässige Aktionen ohne Identifizierung oder Authentifizierung“, der mit der Common Weakness Enumeration CWE-306 mit dem Titel „Fehlende Authentifizierung für kritische Funktionen“ in Zusammenhang steht.
Was tun, wenn unsere Organisation gefährdet ist?
Wenn Sie den Patch ordnungsgemäß installiert haben (SAP-Sicherheitshinweis Nr. 2890213, einschließlich einer verfügbaren Abhilfemaßnahme), sind Sie gegenüber diesem Exploit nicht angreifbar. Haben Sie den Patch hingegen noch nicht installiert, benötigt ein Angreifer Netzwerkzugriff auf SolMan, da dieses System in der Regel nicht direkt mit dem Internet verbunden ist. Für die meisten Unternehmen dürfte sich das Risiko dieses Exploits daher weitgehend auf interne Angriffe beschränken (es sei denn, externe Angreifer haben bereits ein anderes System kompromittiert und befinden sich innerhalb des Netzwerks. Denken Sie an die jüngsten nationalen Nachrichten im Zusammenhang mit Cyberangriffen).
Um zu überprüfen, ob Ihre Systeme anfällig sind (und Sie kein Platform sind), ist die Überprüfung der Komponentenversion der beste Weg, um festzustellen, ob der Patch bereits installiert wurde oder nicht. Um die für die Sicherheit in SolMan erforderliche Komponentenversion zu überprüfen, führen Sie bitte die folgenden Schritte aus:
- Gehen Sie zur Startseite Ihres Solution Manager JAVA Stack und wählen Sie „Systeminformationen„
- Wählen Sie im Fenster „Systeminformationen“ die Registerkarte „Komponenteninfo“ aus und Nach LM-SERVICE filtern
- Der Wert „Version“ steht für die LM-SERVICE-Version (1000.7.20.9.0.xxxxxxxxxxx)
Der Wert „7.20“steht für die Komponentenversion ( 7.2)
Die „9“steht für das Support Package (SP)
Die „0“steht für den Patch Level (PL)
In diesem Beispiel lautet die LM-SERVICE-Version also 720 SP09 mit PL00. Wenn Sie einen der folgenden Patch-Levels (oder einen höheren) verwenden, besteht für Sie kein Risiko:
- SOLMANDIAG 720 SP 004 PL 000012
- SOLMANDIAG 720 SP 005 PL 000013
- SOLMANDIAG 720 SP 006 PL 000014
- SOLMANDIAG 720 SP 007 PL 000020
- SOLMANDIAG 720 SP 008 PL 000016
- SOLMANDIAG 720 SP 009 PL 000008
- SOLMANDIAG 720 SP 0010 PL 000002
- SOLMANDIAG 720 SP 0011 PL 000004
Nur SAP Solution Manager 7.2 ist anfällig, ältere Versionen sind daher nicht betroffen.
Für Onapsis-Kunden
Platform der Platform Kunden auf einfache Weise überprüfen, ob ihre SolMan-Systeme anfällig sind, indem sie eine Bewertung ihrer SolMan-Assets durchführen oder die Ergebnisse der letzten Scans direkt einsehen. Sollten eines der folgenden Probleme gemeldet worden sein, sollten Sie den Patch so schnell wie möglich installieren:
- Fehlende Authentifizierungsprüfung im SolMan-EemAdmin-Dienst (OKBID: SAP_76080)
- Die fehlende Authentifizierungsprüfung im SolMan-EemAdmin-Dienst wurde behoben, ist jedoch weiterhin anfällig für unbefugte Nutzung (OKBID: SAP_76081)
- Fehlende Authentifizierungsprüfung im SolMan-EemAdmin-Dienst wurde teilweise behoben, ist jedoch weiterhin anfällig für die Ausführung von Remote-Code (OKBID: SAP_76082)
Onapsis-Kunden, die überDEFEND Platform verfügen, können anhand einer Reihe von Regeln, die seit April 2020 im Produkt enthalten sind, auch ihre Warnmeldungen überprüfen, um festzustellen, ob der Exploit erfolgreich auf ihren Systemen ausgeführt wurde (falls Sie in Ihren Berichten zu Vorfällen und Alarmen den Eintrag „SolMan User-Experience Monitoring – nicht authentifizierter Zugriff“ sehen, wenden Sie sich bitte an Ihren Onapsis-Ansprechpartner, um weitere Anweisungen zu erhalten).
Weitere Informationen
- Lassen Sie eine Risikobewertung durchführen: Onapsis bietet eine kostenlose Cyber-Risikobewertung an, um festzustellen, ob bei Ihnen diese spezifische Schwachstelle oder andere kritische SAP-Schwachstellen wie RECON oder 10KBLAZE vorliegen.Fordern Sie jetzt Ihre Cyber-Risikobewertung an.
- Auswirkungen auf das Geschäft: Die Folgen eines Angriffs, der diese Sicherheitslücke ausnutzt, werden auch im Onapsis-Bericht erläutert: SAP® Security In-depth: Cyberangriffe auf den SAP Solution Manager verhindern.
- Technische Details: Im vergangenen Jahr hielt das Onapsis-Forschungsteam auf der BlackHat-Konferenz einen Vortrag über die Gefahren dieser speziellen SAP-Sicherheitslücke. Lesen Sie White Paper unser White Paper .
