Onapsis Research Labs : CISA nennt SAP- und Oracle-Schwachstellen als die im Jahr 2022 am häufigsten ausgenutzten Sicherheitslücken

Von:

4. August 2023

Gestern wurde ein neuer Sicherheitshinweis veröffentlicht, der gemeinsam von den Sicherheitsbehörden des Geheimdienstbündnisses „Five Eyes“ verfasst und herausgegeben wurde und von der US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) unter dem Advisory Alert Code AA23-215A herausgegeben wurde. Dieser Bericht wirft einen umfassenden Blick auf das Jahr 2022 und bietet eine aussagekräftige Liste der Common Vulnerabilities and Exposures (CVEs), die im vergangenen Jahr am häufigsten und konsequentesten ausgenutzt wurden. Für diejenigen, die die Onapsis Research Labs schon Onapsis Research Labs einiger Zeit verfolgen, ist es wenig überraschend, dass Schwachstellen in ERP-Software (für Oracle und SAP) auf der Liste der 42 beobachteten, häufig ausgenutzten Schwachstellen stehen. Überraschend ist vielleicht, dass dies das erste Mal ist, dass SAP- und Oracle-Schwachstellen offiziell auf dieser Liste stehen.

Zunächst sei angemerkt, dass für alle diese Schwachstellen Patches verfügbar sind. Die Tatsache, dass sie alle von Angreifern gezielt ausgenutzt wurden, zeigt, dass Unternehmen nach wie vor Schwierigkeiten haben, kritische Unternehmenstechnologien rechtzeitig zu patchen. Dies deckt sich mit den laufenden Untersuchungen von Onapsis Research Labs („ORL“) und anderer Teams, wonach das Zeitfenster, in dem ungeschützte Anwendungen oder Systeme angreifbar sind, in der Regel etwa 90 bis 100 Tage beträgt. Vergleichen Sie dies mit der Zeit, die ein Angreifer benötigt, um von einem Patch zu einem aktiven Exploit zu gelangen – nämlich 72 Stunden. (Bei Log4shell beobachtete ORL, dass aktive Exploits bereits weniger als 24 Stunden nach Bekanntwerden eingesetzt wurden!) Die harte Realität ist, dass IT- und InfoSec-Teams die Aufgabe haben, die Sicherheit für Tausende von Anwendungen zu gewährleisten – die alle häufige Sicherheitsupdates erfordern. Angesichts begrenzter Budgets, Zeit und Ressourcen wird die Priorisierung wichtig, und die Akzeptanz von Risiken wird wohl zur Norm. 

Zweitens ist es interessant festzustellen, dass die meisten dieser am häufigsten ausgenutzten Schwachstellen gar nicht erst im Jahr 2022 entstanden sind. Etwa 64 % davon wurden zwischen 2017 und 2021 gemeldet und behoben. Das bedeutet, dass aktive und raffinierte Angreifer im Jahr 2022 explizit häufiger auf ältere Schwachstellen abzielen als auf neu entdeckte. Man könnte dies zwar auf fehlende Patches oder Nachlässigkeit zurückführen, doch ist es auch wichtig zu beachten, dass die Angriffsfläche Ihrer IT-Landschaft dynamisch ist. Ein Risiko, das Sie 2017 als minimal eingestuft haben, als Sie keine Patches installiert haben, könnte 2022 (oder heute) kritischer gewesen sein, insbesondere wenn man den ständigen Zustrom neuer Schwachstellen berücksichtigt, die es Angreifern ermöglichen, weniger kritische Schwachstellen mit veröffentlichten Hersteller-Patches auszunutzen und zu verketten. Ein aktuelles Beispiel hierfür ist die P4CHAINS-Familie verkettbarer Schwachstellen, die ORL in den letzten Monaten verfolgt hat.

Hier sind die CVEs für die im Bericht erwähnten Sicherheitslücken im ERP-System: 

CVE

Anbieter

Produkt

Typ

CWE

CVE-2022-22536

SAP

Internet Communication Manager (ICM)

HTTP-Request-Smuggling

CWE-444: Uneinheitliche Interpretation von HTTP-Anfragen

CVE-2020-14882

Oracle

WebLogic Server

RCE

Keine

CVE-2020-14883

Oracle

WebLogic Server

RCE

Keine

Die beiden CVEs für Oracle ermöglichen einen Angriff innerhalb des Netzwerks über HTTP, durch den der Oracle WebLogic Server kompromittiert und übernommen werden kann. Der Unterschied zwischen den beiden kritischen Sicherheitslücken liegt darin, wer die Schwachstelle ausnutzen kann – bei der einen kann der Angriff ohne Authentifizierung erfolgen, während die andere über einen Benutzer mit weitreichenden Berechtigungen durchgeführt wird.

Dies bringt uns zu der einzigen SAP-Sicherheitslücke in der Liste – ICMAD mit einem CVSS-Wert von 10,0. Ursprünglich von den Onapsis Research Labs entdeckt und gemeldet, wurde sie im Februar 2022 von unseren Partnern im SAP Product Security Research Team behoben. Zu diesem Zeitpunkt veröffentlichte auch die CISA eine Warnung zu ICMAD, um Unternehmen dazu anzuhalten, den Patch so schnell wie möglich zu installieren. Böswillige Akteure können diese kritische Sicherheitslücke in ungeschützten Systemen leicht ausnutzen. Der Exploit ist einfach, erfordert keine vorherige Authentifizierung, es sind keine Voraussetzungen notwendig, und die Payload kann über HTTP(S) gesendet werden, den am weitesten verbreiteten Netzwerkdienst für den Zugriff auf SAP-Anwendungen. Mehr über ICMAD und seine Auswirkungen erfahren Sie in unserem Blog

Bis heute beobachtet ORL weiterhin wiederholte und häufige Ausnutzungen dieser Schwachstelle in unserer globalen Threat Intelligence Cloud, dem Onapsis Research Labs von Honeypots Onapsis Research Labs . Generell ist anzumerken, dass diese Schwachstelle, obwohl sie erst im Februar 2022 bekannt wurde, innerhalb von weniger als einem Jahr so häufig von Angreifern ausgenutzt wurde, dass sie es auf die CISA-Liste der am häufigsten ausgenutzten Schwachstellen geschafft hat – neben weit verbreiteten Anbietern wie Microsoft, VMware und Fortinet. Leider ist diese Geschichte des HTTP-Smuggling in kritischen SAP-Komponenten mit der„Rückkehr von ICMAD“im Rahmen des jüngsten SAP-Patch-Tuesdays im Juli 2023 noch lange nicht vorbei. 

Empfehlungen von Onapsis Research Labs

ORL empfiehlt Unternehmen, die nach wie vor anfällig für Angriffe sind, dringend, die Behebung dieser Schwachstellen in ihrer kritischen Infrastruktur und ihren Anwendungen so schnell wie möglich vorrangig zu behandeln. Onapsis-Kunden, die diese Bedrohungen in ihrer SAP- oder Oracle-Landschaft mindern möchten, finden Anleitungen zur Risikominderung und Behebung in ihrem Threat Intel Center oder in den Produkt-Dashboards. 

Abschließend unterstreicht diese gemeinsam veröffentlichte Sicherheitsempfehlung, dass die Sicherheit von ERP-Systemen nur so gut ist wie der letzte Patch. Vor fünf Jahren wäre es noch undenkbar gewesen, dass ERP-Schwachstellen in einer solchen Liste aufgeführt würden. Dies verdeutlicht, wie schnell Angreifer ihre Vorgehensweisen und Angriffe verfeinert haben, indem sie tatsächliche geschäftskritische Anwendungsfehler und Exploits ausnutzen, um genau diese direkt anzugreifen. Dies unterstreicht auch die Notwendigkeit hochwertiger und zeitnaher threat intelligence vertrauenswürdigen, erfahrenen Quellen sowie umfassender Technologien zur Wartung, Überwachung und defend kritischen Anwendungs- und ERP-Landschaften vor Angriffen. Gute Bedrohungsinformationen und die passende Technologie zur Erleichterung der Reaktion sind Kennzeichen eines risikogesteuerten Ansatzes, nicht nur in Bezug auf die ERP-Sicherheit, sondern auch im weiteren Sinne. Es ist zudem wichtig, ein tiefes Verständnis für die Compliance- und Richtlinienanforderungen Ihres Unternehmens zu haben und zu wissen, wie sich diese auf die jeweiligen Anforderungen auswirken können, von denen einige durch staatliche Vorschriften in Ihrer Branche vorgegeben sein können. Andernfalls könnte Ihr Unternehmen von der anhaltenden Ausnutzung dieser 42 Schwachstellen betroffen sein.

Stichworte, ,
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen