Fragen und Antworten mit JP Perez-Etchegoyen, CTO von Onapsis: Aktuelle Angriffe auf SAP-Systeme

Von:

13. Juli 2022

CTO JP Perez-Etchegoyen traf sich kürzlich mit Richard Puckett, CISO bei SAP, und Stephanie Kennelley, Analystin für die Offenlegung von Sicherheitslücken bei CISA, zu einer Gesprächsrunde über die neuesten Entwicklungen in der Bedrohungslandschaft für SAP-Geschäftsanwendungen, darunter auch aktive Ausnutzungsversuche von drei bestehenden und bereits gepatchten SAP-Sicherheitslücken. Etchegoyen beantwortet sechs Fragen zu diesen jüngsten Ausnutzungsversuchen und erläutert, welche Maßnahmen Unternehmen ergreifen können, um ihre geschäftskritischen Anwendungen zu schützen.

Jetzt ansehen: Aktive SAP-Exploit-Aktivitäten von den Onapsis Research Labs identifiziert

1. Wie sieht die aktuelle Bedrohungslage für Unternehmensanwendungen aus?

Unternehmensanwendungen wie SAP werden immer häufiger angegriffen. Die zunehmende Komplexität und Größe von Anwendungsumgebungen, die individuelle Anpassung einzelner Anwendungen sowie wachsende Rückstände bei der Installation von Patches führen dazu, dass Unternehmen eine größere Anzahl und Vielfalt an Schwachstellen identifizieren, verstehen und beheben müssen. Die Gefährdung und das Risiko von Angriffen auf Anwendungsebene sind zudem aufgrund von Initiativen zur digitalen Transformation gestiegen, da viele kritische Anwendungen in die cloud verlagert werden, Verbindungen zu Drittanbietern herstellen oder öffentlich zugänglich werden. 

Cyberangriffe werden immer raffinierter, und Angreifer sind mittlerweile in der Lage, gezielt und erfolgreich die Anwendungen anzugreifen, die Unternehmen für ihren täglichen Betrieb nutzen. Seit 2016 gab es sechs Meldungen der CISA, darunter technische Warnungen speziell zu geschäftskritischen Anwendungen sowie zwei zum Thema SAP-Sicherheitsrisiken. Von Mitte 2020 bis April 2021 verzeichnete Onapsis Research Labs mehr als 400 erfolgreiche Exploit-Versuche auf ungeschützte SAP-Anwendungen. Unser Team stellte fest, dass zwischen der Offenlegung einer Schwachstelle und dem ersten nachweisbaren Scan durch Angreifer, die nach anfälligen Systemen suchen, nur 24 Stunden liegen können – und dass es nur 72 Stunden dauert, bis ein funktionsfähiger Exploit verfügbar ist. Es wurde beobachtet, dass diese fortgeschrittenen Angreifer die von ihnen ausgenutzten Schwachstellen patchten und Systeme neu konfigurierten, um von SAP-Administratoren unentdeckt zu bleiben. 

2. Welche Sicherheitslücken wurden von Onapsis Research Labs als von Angreifern ausgenutzt Onapsis Research Labs ?

Onapsis Research Labs beobachtet kontinuierlich die sich ständig verändernde Bedrohungslandschaft, um besser zu verstehen, welche Methoden eingesetzt werden, um Unternehmensanwendungen wie SAP anzugreifen. Neben anderen Schwachstellen, die aktiv ausgenutzt werden, haben wir bei unseren jüngsten Untersuchungen Exploit-Aktivitäten im Zusammenhang mit drei Schwachstellen festgestellt, die bereits von SAP gepatcht wurden – CVE-2021-38163, CVE-2016-2386 und CVE-2016-2388. Zwei dieser drei CVEs weisen kritische CVSS-Bewertungen auf, für die meisten dieser CVEs sind PoCs und Exploits öffentlich verfügbar, und die meisten dieser CVEs sind aus der Ferne und über HTTP(s)-Protokolle ausnutzbar. Insbesondere hat die CISA diesen Katalog bekannter ausgenutzter Schwachstellen um diese drei Schwachstellen erweitert.

3. Wie kann meine Organisation den „Catalog of Known Exploited Vulnerabilities“ (KEV) der CISA nutzen?

Der „Catalog of Known Exploited Vulnerabilities“ (KEV) der CISA wurde am 3. November 2021 erstellt und enthält eine Liste bekannter, ausgenutzter Sicherheitslücken, die ein erhebliches Risiko für die Bundesbehörden darstellen. Er legt Anforderungen für die Behörden fest, solche im Katalog aufgeführten Sicherheitslücken zu beheben. Organisationen sollten den KEV nutzen, um ihre Sicherheit und Widerstandsfähigkeit zu verbessern, indem sie der Behebung dieser Sicherheitslücken Priorität einräumen. Organisationen können den KEV-Katalog als Grundlage für ihr Priorisierungssystem im Schwachstellenmanagement nutzen. Die CISA empfiehlt außerdem, dass Organisationen automatisierte Tools für das Schwachstellen- und Patch-Management einsetzen, die KEV-Schwachstellen automatisch einbeziehen und kennzeichnen oder priorisieren.

4. Welche nächsten Schritte sollte meine Organisation unternehmen?

Stellen Sie sicher, dass keine der im „Catalog of Known Exploited Vulnerabilities“ (KEV) der CISA aufgeführten Sicherheitslücken in Ihrer Infrastruktur vorhanden ist. Dies ist besonders wichtig für SAP-Systeme mit Internetanbindung. Beginnen Sie mit den zuletzt in den KEV aufgenommenen Sicherheitslücken.

  • Informationen zu CVE-2021-38163 finden Sie im SAP-Sicherheitshinweis 3084487: Sicherheitslücke durch uneingeschränkten Datei-Upload in SAP NetWeaver (Visual Composer 7.0 RT). Diese Sicherheitslücke hat einen CVSS-Basiswert von 9,9 und ermöglicht es einem Angreifer, eine Webshell auf das betroffene SAP-System hochzuladen.
  • Zu CVE-2016-2386 siehe SAP-Sicherheitshinweis 2101079: SAP NetWeaver Application Server Java UDDI SQL-Injection. Diese Schwachstelle hat einen CVSS-Basiswert von 9,8 und ermöglicht es einem Angreifer, beliebige Befehle auf der Datenbank auszuführen.
  • Informationen zu CVE-2016-2388 finden Sie im SAP-Sicherheitshinweis 2256846: SAP NetWeaver AS JAVA – Offenlegung von Informationen. Dieser weist einen CVSS-Basiswert von 5,3 auf und ermöglicht es einem Angreifer, gültige Benutzer des Systems aufzulisten. 

5. Warum ist es wichtig, meine SAP-Anwendungen zu sichern?

Angesichts der Tatsache, dass die Bedrohungslage zunimmt, Angreifer immer raffinierter vorgehen und gezielt auf diese Anwendungen abzielen, gibt es drei wesentliche Gründe, warum geschäftskritische Anwendungen im Rahmen der Cybersicherheitsmaßnahmen von Unternehmen nicht außer Acht gelassen werden dürfen. Das Problem besteht darin, dass herkömmliche Cybersicherheitsprogramme die Anwendungsebene nicht ausreichend abdecken. Sie sind nicht in der Lage, das Ausmaß und den Umfang der Risiken innerhalb dieser Anwendungen zu erfassen, bieten keine kontinuierliche Überwachung oder Transparenz für das SOC und sind oft auf manuelle Codeüberprüfungen angewiesen.

Im Folgenden finden Sie einige Beispiele dafür, welche Folgen es haben kann, wenn geschäftskritische Anwendungen ungeschützt bleiben: 

  • Bei 74 % der Sicherheitsvorfälle wurde auf ein privilegiertesKonto zugegriffen1
  • Die durchschnittlichen Kosten für Ausfallzeiten von ERP-Anwendungen belaufen sich auf über 50.000 US-Dollarpro Stunde2
  • Die durchschnittlichen jährlichen Kosten für Bußgelder und Strafen aufgrund von Verstößen belaufen sich auf 2Millionen Dollar³
  • Nach einerSicherheitsverletzung sinkt der Aktienkurs um durchschnittlich 7,3 %4

6. Wie kann die Platform zum Schutz meiner SAP-Anwendungen Platform ?

  • Onapsis Assess das Schwachstellenmanagement: Onapsis Assess ein gezieltes und umfassendes Schwachstellenmanagement für geschäftskritische Anwendungen und ermöglicht es Unternehmen, schneller und intelligenter auf Probleme zu reagieren, die das größte Risiko für das Unternehmen darstellen.
  • Onapsis Control Anwendungssicherheitstests: Onapsis Control automatisierte Anwendungssicherheitstests für SAP-Anwendungen sowie die automatische Behebung häufiger Codefehler. Damit können Unternehmen Sicherheit in ihre Entwicklungsprozesse integrieren, um Probleme so schnell wie möglich zu erkennen und zu beheben.
  • Onapsis Defend die Erkennung und Bekämpfung von Bedrohungen: Onapsis Defend die kontinuierliche Überwachung, Erkennung und Reaktion auf Bedrohungen für geschäftskritische Anwendungen, unabhängig davon, ob diese in der cloud, in Hybrid- oder in lokalen Umgebungen gehostet werden.

Sehen Sie sich das Briefing zu Bedrohungsinformationen an oder wenden Sie sich an einen Experten, um weitere Informationen zu erhalten.

1 https://www.centrify.com/resources/industry-research/pam-survey/

2 https://onapsis.com/IDC-survey-ERP-security-assessment 
3 https://www.ascentregtech.com/compliance/the-not-so-hidden-costs-of-compliance
4 https://www.forbes.com/sites/sergeiklebnikov/2019/11/06/companies-with-security-fails-dont-see-their-stocks-drop-as-much-according-to-report/?sh=e375b0a62e04  
Stichworte, ,
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen