SAP-Sicherheitshinweise im Jahr 2020 – eine Analyse eines außergewöhnlichen Jahres
„60 % aller Datenlecks sind auf versäumte Patches zurückzuführen. Wenn man das behebt, hat man 60 % der Datenlecks beseitigt.“Ricardo Lafosse, CISO von Morningstar, auf der SecureWorld Chicago.
Blickt man auf die letzten 10 Jahre zurück, könnte bei SAP-Kunden der Eindruck entstehen, dass SAP-Systeme immer sicherer werden. Während 2010 noch mehr als 800 SAP-Sicherheitshinweise veröffentlicht wurden, sank die Zahl der Sicherheitshinweise kontinuierlich auf 179 im Jahr 2019. Auch wenn es generell fragwürdig ist, die Sicherheit eines Systems allein anhand der Anzahl der veröffentlichten Patches zu definieren, hat sich dieser rückläufige Trend im Jahr 2020 zudem umgekehrt. Mit 220 neuen und aktualisierten SAP-Sicherheitshinweisen stieg die Anzahl der veröffentlichten Patches im Vergleich zu 2019 um 23 %. Es gibt jedoch einen weiteren Aspekt, der Anlass zu größerer Sorge geben sollte: Die Gesamtzahl der kritischen SAP-Patches (im Zusammenhang mit HotNews oder Hinweisen mit hoher Priorität) stieg deutlich an. Diese wichtige Zahl veränderte sich von 35 im Jahr 2019 auf 68 im Jahr 2020, was einem Anstieg von 94 % entspricht!
Eine genauere Analyse der kritischen SAP-Sicherheitshinweise zeigt, dass die oben genannten Zahlen nicht zwangsläufig auf die stetig wachsende Komplexität von SAP-Landschaften zurückzuführen sind. Mit SAP Solution Manager (SolMan), SAP NetWeaver AS Java und SAP Business Client betreffen fünf der sechs HotNews-Hinweise , die mit der höchstmöglichen CVSS-Bewertung von 10 versehen sind, Sicherheitslücken in „etablierten“ SAP-Komponenten. Der sechste HotNews-Hinweis , der mit einem CVSS-Score von 10 gekennzeichnet ist, betrifft eine Softwarekomponente eines Drittanbieters, die bereits seit mehreren Jahren in SolMan zur Überwachung und Verwaltung der Java-Anwendungsleistung eingesetzt wird.
Nicht zuletzt waren es die Onapsis Research Labs das SAP-Sicherheitsteam dabei unterstützten, vier der sechs in diesen HotNews-Meldungen genannten Sicherheitslücken zu entdecken und zu beheben. Insgesamt half das Onapsis-Forschungsteam SAP dabei, 38 Sicherheitslücken zu beheben.
Welche Lehren lassen sich aus dem Jahr 2020 ziehen?
Lektion 1: Kritische SAP-Patches sollten so schnell wie möglich installiert werden!
Manche Menschen glauben immer noch, dass die Ausnutzung von Sicherheitslücken in SAP lediglich ein theoretisches Szenario darstellt. Die nach der Veröffentlichung der RECON-Sicherheitslücke im Juli 2020 im Internet beobachteten Folgeaktivitäten waren ein Hinweis darauf, dass dies eine äußerst gefährliche Denkweise ist. Im Januar 2021 entdeckte Onapsis die Veröffentlichung eines voll funktionsfähigen Exploits im Internet, der die Sicherheitslücke CVE-2020-6207 ausnutzt, die auf SAP SolMan abzielt. Diese Schwachstelle wurde von SAP ordnungsgemäß gepatcht, nachdem Onapsis sie im März 2020 gemeldet hatte (SAP Security Note #2890213). Ein erfolgreicher Angriff unter Ausnutzung dieser Schwachstelle würde die geschäftskritischen SAP-Anwendungen, Geschäftsprozesse und Daten eines Unternehmens gefährden – mit Auswirkungen auf die Cybersicherheit und die Einhaltung gesetzlicher Vorschriften. Weitere Details zum Exploit finden Sie hier.
Lektion 2: Beachten Sie die 24-Monats-Regel
SAP hält sich an die 24-Monats-Regel, wonach kritische Patches für alle Support-Paket-Stufen einer betroffenen Komponente bereitgestellt werden, die vor nicht mehr als 24 Monaten veröffentlicht wurden. Glücklicherweise hält sich SAP nicht immer strikt an diese Regel. Insbesondere im Jahr 2020 konnten SAP-Kunden zahlreiche Note-Updates erhalten, die nacheinander Patches für ältere Support-Paket-Stufen bereitstellten. Dennoch könnten veraltete Support-Pakete folgende Auswirkungen haben:
- Es gibt nur eine manuelle, zeitaufwändige Abhilfe, um das Problem zu beheben
- Eine automatische Korrektur wird erst einige Monate nach der ersten Veröffentlichung einer Sicherheitslücke bereitgestellt
- SAP bietet weder eine manuelle Abhilfe noch einen nachträglichen Patch an
Die beiden letztgenannten Szenarien sind besonders gefährlich. Sobald eine Sicherheitslücke bekannt geworden ist, beginnt ein Wettlauf zwischen den Angreifern und ihren potenziellen Opfern, deren Systeme noch nicht gepatcht sind.
Lektion 3: Es sind noch mehr Spieler im Spiel
Im Oktober 2020 veröffentlichte SAP zwei Patches für CA Introscope Enterprise Manager mit den Sicherheitshinweisen Nr. 2969828 und Nr. 2971638, die mit CVSS-Werten von 10 und 7,5 versehen waren. Die Onapsis Research Labs SAP bereits einige Wochen zuvor die entsprechenden Sicherheitslücken im Zusammenhang mit OS-Befehlsinjektion und fest codierten Anmeldedaten Onapsis Research Labs . Dieser Vorfall zeigt, dass SAP-Kunden auch Software von Drittanbietern in ihrem Patch-Konzept berücksichtigen sollten. Im Gegensatz zur CA-Lösung verfügen die meisten Softwareanbieter über eigene Vertriebskanäle für Installation, Updates und Patches, was bedeutet, dass mehr zu überprüfen ist als nur die SAP-Sicherheitshinweise im SAP-Support-Portal.
Fazit
Das Jahr 2020 hat gezeigt, dass das Patchen von Software für ein Unternehmen eine sehr wichtige Aufgabe sein kann, die jedoch gefährlich werden kann, wenn sie nicht ordnungsgemäß durchgeführt wird. Der SolarWinds-Angriff hat verdeutlicht, dass es für Angreifer ein Leichtes sein kann, alle Sicherheitsmaßnahmen zu umgehen, die dazu dienen, sie von internen Netzwerken und Systemen fernzuhalten, indem sie den Update-Prozess eines externen Softwareanbieters kompromittieren.
Andererseits zeigen die drei Erkenntnisse aus dem Jahr 2020, dass ein Unternehmen seine externe Software kontinuierlich aktualisieren muss, um vor neu entdeckten Sicherheitslücken geschützt zu sein.
Umso wichtiger ist es, dass die Integrität und Qualität der Updates vor der Implementierung vom Unternehmen überprüft werden. SAP unterstützt seit Januar 2020 digital signierte Notes, um seinen Patch-Prozess zu schützen. Um bei der Implementierung und Aktualisierung von Drittanbietersoftware für SAP bestmöglich geschützt zu sein, Platform die Platform leistungsstarke Produkte zur Unterstützung Platform . Mit dem Assess können IT- und Informationssicherheitsteams assess SAP-Systeme kontinuierlich auf fehlende Patches und Konfigurationsprobleme assess , die ein Unternehmen anfällig für zunehmende interne und externe Bedrohungen machen können.
Mit den Onapsis-Transportprüfungsfunktionen in der Control werden externe Transportaufträge anhand von mehr als 70 Kriterien überprüft, die auf eine böswillige Manipulation des Auftrags hindeuten. Darüber hinaus Control die in Control integrierten Funktionen zur Analyse von SAP-Eigencode den ABAP-Code sowie den SAPUI5- (Fiori), XSJS- und SQLScript-Code auf mehr als 160 absichtlich oder unabsichtlich implementierte Schwachstellen.
