Warum die RECON-Sicherheitslücke einen Wendepunkt für die Cybersicherheit bei SAP darstellt – Einleitung

Von:

28. September 2020

Das Wichtigste in Kürze:

  • RECON ist eine kritische Sicherheitslücke, von der Tausende von Anwendungen mit Internetanbindung sowie interne Systeme betroffen sind
  • Mit einem CVSS-Wert von 10,0 hat die Ausnutzung dieser Schwachstelle schwerwiegende Folgen für das Unternehmen, weshalb mehrere internationale CERTs Organisationen darauf hingewiesen haben
  • Es stehen Betriebssystem-Tools zur Verfügung, mit denen sowohl die Sicherheitslücke als auch Anzeichen für einen Angriff überprüft werden können

Kritische Sicherheitslücken werden ständig entdeckt, gemeldet und behoben. Dies ist ein bekanntes Risiko, mit dem sich Unternehmen kontinuierlich auseinandersetzen müssen. Wenn es jedoch um die wichtigsten Vermögenswerteeines Unternehmens geht, können Sicherheitslücken zusätzliche Risiken mit sich bringen und müssen daher noch ernster genommen werden – insbesondere die kritischen. 

In den letzten Jahren hat das wachsende Bewusstsein für die Notwendigkeit von Cybersicherheitsmaßnahmen im Zusammenhang mit SAP-Anwendungen die Aufmerksamkeit auf Schwachstellen gelenkt. Dies hat zu einer positiven Reaktion seitens der SAP-BASIS-Teams geführt, die sich mit diesen Risiken befassen, aber auch zu einer negativen Reaktion seitens der Angreifer, die sich zunehmend auf diese Schwachstellen konzentrieren. 

Wichtiger denn je 

Die Gesamtzahl der SAP-Sicherheitshinweise ist im Laufe der Jahre langsam zurückgegangen, was auf Strategien zurückzuführen ist, die SAP eingeführt hat, um die Installation von Patches zu vereinfachen (beispielsweise werden mehrere Sicherheitslücken durch denselben Patch behoben); allerdings gibt es immer mehr Patches, die kritische Sicherheitslücken beheben (HotNews in der SAP-Welt).

Wie aus Abbildung 1 hervorgeht, zeigt die Entwicklung der SAP-Sicherheitshinweise in den letzten fünf Jahren sowohl einen Rückgang der Gesamtzahl der Patches als auch einen Anstieg der HotNews. Diese Daten berücksichtigen nicht die potenziellen SAP-Sicherheitshinweise oder HotNews, die in den letzten vier Monaten des Jahres 2020 noch veröffentlicht werden könnten und den Trend ebenfalls verändern könnten.

RECON-Sicherheitslücke

Diese Erkenntnis zeigt, dass SAP-Strategien Unternehmen dabei helfen, Patches besser zu nutzen, dass die SAP-Technologie jedoch zunehmend im Fokus der Forschungsgemeinschaft steht und genauer unter die Lupe genommen wird, was zur Aufdeckung zahlreicher kritischer Sicherheitslücken geführt hat.

Die RECON-Sicherheitslücke

Wir werden uns mit einer ganz besonderen Sicherheitslücke befassen, der CVE-2020-6287 (auch bekannt als RECON-Sicherheitslücke), da sie sich in verschiedenen Aspekten von anderen bisher bekannten Sicherheitslücken unterscheidet: 

  • CVSS: 10,0 (vollständige Auswirkung)
  • Über das Netzwerk aus der Ferne ausnutzbar
  • Über HTTP(s)-Protokolle ausnutzbar
  • Zur Ausnutzung der Sicherheitslücke sind keine Berechtigungen erforderlich (kein Benutzer) 
  • Die Möglichkeit, auf dem Zielsystem so gut wie alles auszuführen, einschließlich der Erstellung von Benutzern mit hohen Berechtigungen und der Ausführung von Betriebssystembefehlen
  • Da die Sicherheitslücke auf HTTP basiert, ist eine große Anzahl von Anwendungen mit Internetanbindung gefährdet

Ein globales Risiko

Mithilfe von öffentlich zugänglichen Suchmaschinen konnte die Anzahl der zum Zeitpunkt der Patch-Veröffentlichung exponierten Systeme ermittelt werden. Verschiedene Suchmaschinen liefern unterschiedliche Schätzungen, da diese von der Anzahl der gescannten Ports und den zur Identifizierung von SAP-NetWeaver-basierten Anwendungen eingesetzten Techniken abhängen. Insgesamt waren zum Zeitpunkt der Veröffentlichung des Patches zwischen 2.500 und potenziell 10.000 internetgestützte Systeme für RECON anfällig. 

Angesichts dieser Zahlen und der Tatsache, dass etwa 30 bis 40 % der Systeme nach wie vor anfällig sein könnten (basierend auf Schätzungen verschiedener Stichproben), ergibt sich daraus eine enorme Angriffsfläche und ein enormes Risiko.

SAP-Sicherheitslücke RECON

Zeitgleich mit der Veröffentlichung des Patches und angesichts der Schwere dieser Sicherheitslücke sowie der potenziellen Angriffsfläche über das Internet veröffentlichten die DHS-CISA sowie zahlreiche andere internationale Organisationen CERT-Warnmeldungen (Computer Emergency Response Team), in denen sie Unternehmen darauf hinwiesen, dass die RECON-Sicherheitslücke behoben werden müsse. Diese Warnung wurde von mehr als einem Dutzend CERTs weltweit herausgegeben, unter anderem für Länder wie die USA, Deutschland und Frankreich, um nur einige zu nennen.

SAP-Sicherheitslücke RECON

Der Beitrag von Onapsis

Auch wenn Onapsis-Kunden zum Zeitpunkt der Veröffentlichung des Patches geschützt waren, sind wir uns bewusst, wie kritisch diese Sicherheitslücke für Unternehmen ist und wie schwierig es ist, festzustellen, ob Anwendungen davon betroffen sind oder nicht. Aus diesem Grund hat Onapsis den kostenlosen Dienst und das Open-Source-Tool „INSTANT RECON“ veröffentlicht, mit dem SAP-Kunden ihre Systeme online scannen können, indem sie SAP-Protokolle analysieren und internetgebundene Systeme auf die RECON-Sicherheitslücke überprüfen. Es bietet zudem die Möglichkeit, das Tool lokal auszuführen, um alle SAP-Systeme im gesamten internen Netzwerk zu scannen. Neben der Installation der offiziellen SAP-Patches empfiehlt Onapsis allen SAP-Kunden dringend, diesen Dienst oder dieses Tool unverzüglich zu nutzen, um das potenzielle Sicherheitsrisiko und die anfälligen Systeme zu ermitteln, die gesichert werden müssen, damit SAP-Systeme und Geschäftsprozesse geschützt bleiben und wichtige gesetzliche Vorschriften eingehalten werden.

Hier können Sie den INSTANT RECON-Dienst und das Tool kostenlos nutzen oder herunterladen:

Fazit

Geschäftskritische Anwendungen beherbergen die wertvollsten Daten Ihres Unternehmens. Angesichts der Tragweite und Schwere der RECON-Sicherheitslücke sowie des zunehmenden Interesses von Forschern (und Angreifern, wie in anderen Artikeln beschrieben) benötigen diese Anwendungen mehr Schutz denn je. 

Die RECON-Reihe zu Sicherheitslücken

Im Juli veröffentlichte SAP Patches für die RECON-Sicherheitslücke, nachdem diese von den Onapsis Research Labs identifiziert und an SAP gemeldet worden war. Aufgrund der Schwere der Sicherheitslücke und der Vielzahl potenziell betroffener, mit dem Internet verbundener SAP-Systeme gab die DHS-CISA zusammen mit vielen anderen internationalen Organisationen CERT-Warnungen heraus, um Unternehmen auf die kritische Bedeutung der RECON-Sicherheitslücke hinzuweisen. Sowohl SAP als auch Onapsis forderten Unternehmen, die SAP-Anwendungen nutzen, nachdrücklich auf, die Patches unverzüglich zu installieren. In den Tagen nach der Veröffentlichung der Patches für RECON beobachteten und meldeten die Onapsis Research Labs anderethreat intelligence und Forscher austhreat intelligence rasche Bedrohungsaktivitäten, darunter das Scannen nach anfälligen Systemen und schließlich die Veröffentlichung von öffentlich zugänglichem, für Angriffe missbrauchtem Exploit-Code. Dieser Inhalt ist Teil einer koordinierten Initiative mit threat intelligence , Forschern und Organisationen, um Ihnen weitere Einblicke, Informationen und Maßnahmen zu liefern, die Sie ergreifen sollten, um sicherzustellen, dass Ihr Unternehmen vor der RECON-Sicherheitslücke geschützt ist. 

Links zu den einzelnen Teilen dieser Blogreihe finden Sie unten: 

Onapsis-Ressourcen anzeigen

Stichworte,
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen