SAP-RECON-Sicherheitslücke: Anhaltende Ausnutzung und Erkenntnisse von Onapsis

Von:

3. Juni 2025

Die SAP-RECON-Sicherheitslücke (CVE-2020-6287) verstehen

Vor fast fünf Jahren wurde eine der schwerwiegendsten Sicherheitslücken in der Geschichte von SAP, bekannt als SAP RECON (CVE-2020-6287), nach der Veröffentlichung des Patches am 14. Juli 2020 öffentlich bekannt gegeben. Nur 72 Stunden nach Veröffentlichung des Patches tauchten im Internet zuverlässige Exploits für diese Schwachstelle auf. In diesem Beitrag konzentrieren wir uns auf die anhaltende Ausnutzung der SAP-RECON-Schwachstelle und gehen dabei insbesondere darauf ein, wie sie in den letzten Jahren gezielt ausgenutzt wurde.

Warum die SAP-RECON-Sicherheitslücke so kritisch war

Obwohl RECON einen CVSS-Wert von 10 von 10 Punkten erhielt, ergab sich die tatsächliche Schwere der Schwachstelle nicht nur aus der einfachen Ausnutzbarkeit, sondern auch aus der weitreichenden Exposition gegenüber dem Internet. Die Schwachstelle wurde in „SAP Java NetWeaver“ entdeckt, einer gemeinsamen Schicht, die in vielen SAP-Lösungen (z. B. Solution Manager, PI/PO, Enterprise Portal, CRM) verwendet wird. Da diese Produkte auf Java basieren, wird häufig über HTTP auf sie zugegriffen, wodurch sie anfällig für eine Exposition im Internet sind. Ein Paradebeispiel hierfür ist das Enterprise Portal, eine der am stärksten mit dem Internet verbundenen Lösungen von SAP.

Allgemein gesagt verschafft die Ausnutzung von RECON einem Angreifer die Möglichkeit, anonym einen Administratorbenutzer in einem anfälligen System anzulegen und somit control volle control das Zielsystem zu erlangen. Die einzige Voraussetzung ist der Zugriff auf den HTTPS-Port des Zielsystems. Das Onapsis RECON Scanner Tool bietet eine einfache, aber effektive Möglichkeit, festzustellen, ob ein System für RECON anfällig ist, ohne es aktiv auszunutzen. Auch wenn man annehmen könnte, dass diese Schwachstelle kein Problem mehr darstellt, dürfte das Ausmaß der aktiven Ausnutzung überraschend sein.

Die Nutzung von RECON: Damals und heute

Es ist bemerkenswert, dass Angreifer diese und sogar noch ältere Schwachstellen nach wie vor ausnutzen, um mit dem Internet verbundene Systeme zu kompromittieren. Erst vor wenigen Monaten demonstrierte Yvan Genuer, Senior Security Researcher, auf der Black Hat Europe 2024, wie Angreifer aus verschiedenen Bereichen – darunter hochentwickelte Gruppen und Script-Kiddies – diese Schwachstellen weiterhin ausnutzen. Für einen tieferen Einblick in dieses Thema lesen Sie unseren aktuellen Bericht mit dem Titel CH4TTER, der detaillierte Einblicke und Analysen bietet. Der folgende Chat gibt jedoch einen kurzen Überblick darüber, wie Angreifer trotz des Zeitablaufs weiterhin dieselben Schwachstellen ausnutzen – wenn auch deutlich weniger intensiv.

Erfahrungen und der weitere Weg für die SAP-Sicherheit

Obwohl die SAP-RECON-Sicherheitslücke bereits vor fast fünf Jahren behoben wurde, verdeutlicht ihre anhaltende Ausnutzung das fortbestehende Risiko, das veraltete und ungeschützte Systeme darstellen. Trotz Fortschritten im Sicherheitsbereich nutzen Angreifer – von hochqualifizierten Gruppen bis hin zu weniger versierten Akteuren – diese Schwachstellen weiterhin aus, was zeigt, dass ältere Sicherheitslücken nach wie vor wertvolle Angriffspunkte bieten. Die anhaltende Ausnutzung von RECON unterstreicht die entscheidende Bedeutung regelmäßiger Patches, proaktiver Sicherheitsmaßnahmen und ständiger Wachsamkeit. In Zukunft sollten die aus solchen Vorfällen gewonnenen Erkenntnisse zu Verbesserungen der Sicherheitslage kritischer Infrastruktursysteme führen und einen besseren Schutz vor sich weiterentwickelnden Bedrohungen gewährleisten.

Häufig gestellte Fragen

Was ist die SAP-RECON-Sicherheitslücke?

Die SAP-RECON-Sicherheitslücke (CVE-2020-6287) ist eine kritische Schwachstelle in den Java NetWeaver-Systemen von SAP, die es nicht authentifizierten Angreifern ermöglicht, aus der Ferne Administratorbenutzer anzulegen. Diese Sicherheitslücke kann zu einer vollständigen Kompromittierung des Systems führen, wenn sie nicht behoben wird.

Warum stellt die SAP-RECON-Sicherheitslücke auch heute noch ein Risiko dar?

Obwohl SAP im Jahr 2020 einen Patch veröffentlicht hat, verfügen viele Unternehmen nach wie vor über veraltete, mit dem Internet verbundene SAP-Systeme, die weiterhin angreifbar sind. Wie Untersuchungen von Onapsis zeigen, nutzen Angreifer diese Schwachstelle auch Jahre später noch aktiv aus, was die Notwendigkeit eines kontinuierlichen Patch-Managements sowie einer Überwachung und eines Expositionsmanagements unterstreicht.

Wie können Unternehmen überprüfen, ob ihre SAP-Systeme für RECON anfällig sind?

Unternehmen sollten Schwachstellen-Scanning-Tools einsetzen, um assess . Lösungen wie die Platform Unternehmen, von der SAP-RECON-Sicherheitslücke betroffene Systeme ohne manuelle Tests automatisch zu erkennen, was eine schnellere Behebung ermöglicht.

Welche SAP-Produkte sind am stärksten von der SAP-RECON-Sicherheitslücke betroffen?

Am stärksten betroffen sind Systeme, die auf der SAP Java NetWeaver-Schicht basieren, wie beispielsweise SAP Solution Manager, PI/PO, Enterprise Portal und CRM. Diese Produkte verfügen häufig über HTTP/S-Schnittstellen, die mit dem Internet verbunden sind, was sie zu bevorzugten Angriffszielen für Angreifer macht.

Wie schnell wurde die SAP-RECON-Sicherheitslücke nach ihrer Bekanntgabe ausgenutzt?

Exploits für die SAP-RECON-Sicherheitslücke tauchten bereits innerhalb von 72 Stunden nach Veröffentlichung des Patches im Juli 2020 im Internet auf. Diese rasche Ausnutzung zeigt, wie wichtig es ist, SAP-Sicherheitspatches unverzüglich zu installieren.

Welche Maßnahmen sollten Unternehmen ergreifen, um die Risiken der SAP-RECON-Sicherheitslücke zu minimieren?

Unternehmen müssen SAP-Systeme unverzüglich patchen, den Internetzugang so weit wie möglich einschränken, kontinuierlich auf verdächtige Aktivitäten überwachen und regelmäßig SAP-spezifische Sicherheitsüberprüfungen mit bewährten Lösungen wie denen von Onapsis durchführen.

Wie hilft Onapsis dabei, defend Sicherheitslücken wie SAP RECON defend ?

Onapsis bietet automatisiertes Schwachstellenmanagement, Echtzeitüberwachung und threat intelligence , die threat intelligence auf SAP-Umgebungen threat intelligence . Die Tools des Unternehmens, darunter die Platform, helfen Unternehmen dabei, defend proaktiv defend Schwachstellen wie SAP RECON defend und die Ausfallsicherheit ihrer SAP-Systeme zu gewährleisten.

Welche allgemeinen Lehren lassen sich aus der SAP-RECON-Sicherheitslücke für die Cybersicherheit bei SAP ziehen?

Die anhaltende Ausnutzung von SAP RECON verdeutlicht, wie wichtig regelmäßige Patches, eine proaktive Überwachung von Sicherheitsbedrohungen, die Minimierung von Systemrisiken und der Einsatz spezialisierter SAP-Sicherheitsstrategien sind. Unternehmen müssen von einem reaktiven zu einem proaktiven Sicherheitsansatz übergehen, um kritische Geschäftssysteme zu schützen.

Stichworte, , , , ,
Über den Autor

Pablo Artuso

Pablo „Partu“ Agustin Artuso ist ein erfahrener Sicherheitsforscher mit Fachkenntnissen in der Identifizierung von Schwachstellen und der Verbesserung der Sicherheit geschäftskritischer Anwendungen. Dank seines fundierten Hintergrunds im Bereich Cybersicherheit und seiner Spezialisierung auf Systeme wie SAP hat er zur Stärkung der Widerstandsfähigkeit von Unternehmen beigetragen. Seine technische Kompetenz und seine praktische Erfahrung haben ihn zu einer Schlüsselfigur im Bereich der Unternehmenssicherheit gemacht. Während seiner Zeit bei Onapsis wurde er als Redner für die Black Hat USA und die Ekoparty ausgewählt und war der leitende Forscher bei der Entdeckung der als P4CHAINS bezeichneten Schwachstellenfamilie.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen