Onapsis stellt allen SAP-Kunden das kostenlose Schwachstellen-Scan-Tool RECON zur Verfügung
Onapsis hat einen neuen kostenlosen Online-Dienst sowie ein als Open-Source-Tool zum Herunterladen für alle SAP-Kunden veröffentlicht, um Unternehmen dabei zu helfen, schnell assess ihre SAP-Systeme anfällig sind, und verdächtige Aktivitäten im Zusammenhang mit der RECON-Sicherheitslücke (CVE-2020-6287) zu erkennen. Der INSTANT RECON-Dienst steht zur sofortigen Nutzung online oder als Download auf Github zur Verfügung, um lokal als Open-Source-Tool SAP-Systeme und Protokolle auf mögliche Indikatoren für eine Kompromittierung (IoC) zu scannen und assess Systeme anfällig sein könnten.
Hintergrund
Am 13. Juli hat SAP eine kritische Sicherheitslücke in seinem NetWeaver-Java-Technologie-Stack behoben. Diese von den Onapsis Research Labs entdeckte Sicherheitslücke mit dem Namen RECON (Remotely Exploitable Code On NetWeaver) erreicht den maximalen CVSS-Wert von 10,0, was bedeutet, dass sie sowohl leicht auszunutzen ist als auch erhebliche geschäftliche Auswirkungen haben kann.
Angesichts der Schwere dieser Sicherheitslücke hat das US-Heimatschutzministerium in Abstimmung mit dem BSI CERT-Bund eine US-CERT-Warnung ( AA20-195A) herausgegeben, der sich weitere internationale Organisationen angeschlossen haben, um vor potenziellen Gefahren im Zusammenhang mit dieser Sicherheitslücke zu warnen.
Beobachtungen seit Verfügbarkeit des Patches
Seit der Veröffentlichung des Patches für RECON durch SAP Onapsis Research Labs Onapsis und die Onapsis Research Labs die Entwicklungen rund um RECON aufmerksam und arbeiten weiterhin daran, eine schnellere und zuverlässigere Erkennung dieser Sicherheitslücke zu ermöglichen.
Am Tag nach der Veröffentlichung der RECON-Patches gaben weitere CERT-Partner und andere Cybersicherheitsbehörden weltweit zusätzliche Warnungen und Hinweise heraus, in denen sie Unternehmen dringend aufforderten, ihre Systeme zu patchen. Bereits zwei Tage später, am 15. Juli, wurde ein Proof-of-Concept (PoC) für die Schwachstelle auf GitHub veröffentlicht. Das in diesem PoC verwendete Python-Skript konnte zwar zur Identifizierung eines anfälligen Systems genutzt werden, führte jedoch weder eine Remote-Code-Ausführung noch die Erstellung eines Benutzers durch. Angesichts der Geschwindigkeit, mit der der PoC veröffentlicht wurde, erschienen erneut zahlreiche Presseartikel, in denen Unternehmen erneut aufgefordert wurden, ihre Systeme zu patchen, da es nur eine Frage der Zeit sei, bis ein vollständiger Exploit entwickelt würde.
Nach der Veröffentlichung des Proof-of-Concept für die Sicherheitslücke wurde eine hohe Anzahl von Scans beobachtet. Einige der ersten Scans stammten von Sicherheitsforschern und anderen Personen, die Dienste nutzten, um Statistiken über potenziell anfällige Systeme zu erheben; dabei handelte es sich jedoch in der Regel um einmalige oder regelmäßige Scans. Die am 15. und 16. Juli beobachteten Massenscans deuteten auf böswillige Scans hin, die darauf abzielten, die Sicherheitslücke CVE-2020-6287, auch bekannt als RECON, auszunutzen.
Am 17. Juli wurde Onapsis auf einen auf GitHub veröffentlichten funktionierenden Exploit für RECON aufmerksam. Nur vier Tage nach der Veröffentlichung des ursprünglichen Patches durch SAP war der Code zur Ausnutzung der Sicherheitslücke nun öffentlich zugänglich.
Beschleunigte Fortschritte und bevorstehende Veranstaltungen
Seit der Veröffentlichung eines Proof-of-Concept (PoC) für diesen Exploit am 17. Juli haben wir mehrere Varianten funktionsfähiger Exploits beobachtet, darunter einen Beitrag, in dem 5 BTC (ca. 48.000 USD) als Gegenleistung für einen funktionierenden Exploit für CVE-2020-6287 angeboten wurden, der auf dem Zielsystem einen Benutzer mit Administratorrechten erstellen und Datenbank-Dumps sowie andere böswillige Aktionen ermöglichen würde.
Diese rasante Entwicklung entspricht den Erwartungen an eine Schwachstelle mit einem CVSS-Wert von 10. Die Tragweite dieser Bedrohung kann gar nicht hoch genug eingeschätzt werden – Unternehmen müssen unbedingt sofort Patches installieren, insbesondere solche mit Systemen, die mit dem Internet verbunden sind. Es ist nur eine Frage der Zeit, bis aus einem voll funktionsfähigen Exploit ein Werkzeug wird, das in großem Maßstab eingesetzt werden kann, und wir müssen davon ausgehen, dass versierte Angreifer dies bereits erfolgreich für ihre Zwecke genutzt haben. Die Folgen eines erfolgreichen Angriffs könnten in einer vollständigen Kompromittierung der Vertraulichkeit, Integrität und Verfügbarkeit geschäftskritischer SAP-Anwendungen bestehen – was zu einer Cybersicherheitsverletzung, einer Störung des Geschäftsbetriebs und schwerwiegenden Verstößen gegen gesetzliche Vorschriften führen würde.
Da Onapsis sich der Dringlichkeit von Scans, Erkennung und Patching bewusst ist, hat das Unternehmen zügig einen Online-Dienst sowie ein als Open-Source-Tool zum Herunterladen entwickelt, um allen SAP-Kunden dabei zu helfen, ihre Systeme auf die RECON-Sicherheitslücke sowie auf Anzeichen für einen möglicherweise erfolgreichen Angriff zu überprüfen.
Wir stellen Ihnen INSTANT RECON vor
Was ist das?
Um Unternehmen dabei zu helfen, festzustellen, ob ihre SAP-Systeme anfällig sind, hat Onapsis „INSTANT RECON“ veröffentlicht – einen kostenlosen Online-Dienst sowie eine Sammlung von Open-Source-Python-Skripten, die lokal ausgeführt werden können. Mit diesem Dienst und diesen Tools können Sie Ihre internen und öffentlichen SAP-Instanzen scannen, um festzustellen, ob sie möglicherweise für RECON anfällig sind, und um nach möglichen Indikatoren für eine Kompromittierung (IoC) zu suchen, die auf eine erfolgreiche Ausnutzung von RECON hindeuten.
Wo findet man es?
Den Online-Scanner für internetfähige SAP-Systeme finden Sie hier. Der lokale Scanner für interne SAP-Systeme ist in unserem GitHub-Repository verfügbar.
Wie nutze ich den Online-Dienst?
Für den Online-Dienst benötigen Sie eine E-Mail-Adresse und die URL Ihrer öffentlich zugänglichen SAP-Instanz, um diese auf das Vorhandensein der Sicherheitslücke zu überprüfen.
Darüber hinaus können Sie SAP NetWeaver JAVA Responses-Trace-Dateien und SAP JAVA-Anwendungsprotokolle hochladen, um nach IoCs zu suchen.
Weitere Informationen finden Sie auf unserer INSTANT RECON-Seite.
Wie verwende ich den lokalen Scanner?
Der lokale Scanner besteht aus einer Reihe von Open-Source-Skripten, die in Python geschrieben sind. Wie der Online-Dienst unterstützt er sowohl die Überprüfung auf die RECON-Sicherheitslücke als auch das IoC-Scanning. Ausführliche Anweisungen finden Sie in der README-Datei im INSTANT RECON-GitHub-Repository.
Wie nutze ich die Ergebnisse?
Systeme, bei denen die RECON-Sicherheitslücke festgestellt wurde, sollten umgehend gepatcht werden. Dies gilt insbesondere für Instanzen mit Internetanbindung. Falls ein Patch nicht möglich ist, wird empfohlen, den Dienst „LM Configuration Wizard“ gemäß den Anweisungen im Sicherheitshinweis von SAP zu deaktivieren.
Sollte die Protokollanalyse einen IoC ergeben, sollten Sie dies unverzüglich Ihrem internen Team für Informationssicherheit zur eingehenden Analyse melden und die festgelegten Vorfallverfahren befolgen. Es wird dringend empfohlen, eine gründliche Scan-Analyse der betroffenen Systeme und aller damit verbundenen Satellitensysteme durchzuführen, um nach weiteren Indikatoren zu suchen und das Ausmaß der potenziellen Kompromittierung zu ermitteln.
Bitte beachten Sie, dass Scans, die zeigen, dass Ihre Systeme nicht für RECON anfällig sind und keine IoCs aufweisen, keineswegs eine Garantie darstellen, da Black-Box-Schwachstellenanalysen und diese Art von IoC-Scans mehrere bekannte Einschränkungen aufweisen. Angesichts einer sich ständig ausweitenden Bedrohungslandschaft ist es dennoch unerlässlich, Ihre ERP-Systeme weiterhin zu patchen und auf verdächtige und ungewöhnliche Aktivitäten zu überwachen.
Muss ich Onapsis-Kunde sein, um diesen Service nutzen zu können?
INSTANT RECON steht allen SAP-Kunden sowie der breiteren SAP-Sicherheitsgemeinschaft zur Verfügung. Zwar verfügen Onapsis-Kunden bereits im Rahmen ihres Platform über Sicherheitsfunktionen, doch die zunehmende Bedrohungslage hat uns dazu veranlasst, dieses Tool und diesen Service kostenlos zur Verfügung zu stellen, damit sich alle Unternehmen weltweit schützen können.
Kann ich neben Recon auch nach anderen Schwachstellen suchen?
Dieser Service wurde speziell für RECON entwickelt. Die Onapsis-Lösung für Cybersicherheit und Compliance in SAP, die Platform, bietet automatisierte Überprüfungen von SAP-Systemen auf Hunderte kritischer Schwachstellen und Fehlkonfigurationen und überwacht kontinuierlich interne und externe Bedrohungen. Um SAP auf weitere kritische Schwachstellen und Fehlkonfigurationen zu überprüfen, fordern Sie noch heute eine kostenlose Cyber-Risikoanalyse von Onapsis an.
Weitere Ressourcen zur SAP-Sicherheit
Über den Autor
