Sicherheit für Ihr SAP-System und Gewährleistung der Sicherheit Ihres SAP-Systems
Im Juni 2019, nur einen Monat nach der Warnung von US-CERT bezüglich 10KBlaze, veröffentlichte CSOein Interview mit Juan Perez-Etchegoyen, CTO von Onapsis, Jonathan Haun, Senior Director bei Enowa LLC, und Gert Schroeter, Vice President of Security Communications bei SAP Global Security. In diesem Interview beschrieben sie acht der häufigsten Konfigurationsfehler und Sicherheitsmängel in SAP-Umgebungen von Unternehmen. Den vollständigen Artikel finden Sie hier.
Optimisten mögen annehmen, dass diese Fehler und Ausfälle stets auf mangelndes Bewusstsein für die Systemsicherheit, fehlendes Wissen oder fehlende Ressourcen zurückzuführen sind, doch Realisten müssen sich den Tatsachen stellen – all diese Situationen können auch absichtlich von einem Angreifer herbeigeführt werden, um sie zu einem späteren Zeitpunkt auszunutzen. In meinem Webcast „There’s a Ghost in your SAP“ erkläre ich, wie beliebige Tabellendaten versteckt und unbemerkt in die Produktionsumgebung übertragen werden können.
Angesichts der Tatsache, dass die meisten Sicherheitsangriffe und Datenlecks von Insidern ausgehen, sollte der Transport kritischer Konfigurationsdaten als eine einfache Möglichkeit betrachtet werden, das SAP-System für böswillige Aktivitäten zu öffnen. Daher möchte ich näher darauf eingehen und jeden der acht Konfigurationsfehler und Sicherheitsmängel im Hinblick auf die betroffenen Tabellen analysieren. Der Transport dieser Tabellen muss unbedingt intensiv überwacht werden – ganz gleich, ob sie direkt, über eine Wartungsansicht oder einen Ansichtscluster oder sogar versteckt transportiert werden.
1. Falsch konfigurierte ACLs
Die meisten wichtigen control werden in Dateien auf Betriebssystemebene gespeichert. Einige kritische ACLs werden jedoch in Datenbanktabellen gespeichert. Dasselbe gilt für allgemeine Whitelists. Beispiele hierfür sind:
2. Unzureichende Zugriffskontrollen für Benutzer
Kaum zu glauben, aber es ist möglich, einen kompletten Benutzersatz in ein Produktivsystem zu transportieren. Fügen Sie einfach den entsprechenden USR02-Satz in einen Transportauftrag ein. Benötigen Sie Berechtigungen? OK, wie wäre es dann damit, den neuen Benutzer über die Tabelle USREF einem Referenzbenutzer zuzuordnen? Verfügen Sie über ein externes Produkt zur Benutzeridentitätsverwaltung? Ordnen Sie einfach die externe ID dem SAP-Benutzer zu, dessen Identität Sie annehmen möchten (probieren Sie SAP* aus). Hier ist ein Auszug der wichtigsten Tabellen:
3. Unsicherer benutzerdefinierter Code
Es gibt Arten von Code, die sich durch Tabellenbearbeitung sehr einfach ändern lassen. Beispielsweise werden globale Makros in der transparenten Tabelle gespeichert TRMAC, SQL-Skripte für SAP auf MS SQL werden über die transparente Tabelle MSSSOURCEverwaltet. Insbesondere bei letzterer ist es sehr einfach, Code in die Produktion einzuschleusen, der zu einer vollständigen Löschung der Datenbank führt.
4. Nachlässiges Patch-Management
Auch die Informationen darüber, ob ein Patch bereitgestellt wurde oder nicht, können manipuliert werden. Ein Angreifer könnte diese sensiblen Daten ändern, um vorzutäuschen, dass bestimmte Sicherheitslücken im System bereits behoben sind, obwohl dies nicht der Fall ist. Es gibt 44 CWB*-Tabellen (SAP NW 7.50), die Status- und Inhaltsinformationen zu angewendeten Notes und Korrekturen enthalten.
5. Ungeschützte Daten
Sensible Daten müssen nicht nur während der Übertragung und im Ruhezustand verschlüsselt werden – auch die ordnungsgemäße Autorisierung für das Lesen und/oder Ändern von Daten ist wichtig. Leider gibt es einige Tabellen, die manipuliert werden können, um control Autorisierungsprüfungen für bestimmte Autorisierungsobjekte im ABAP-Code tatsächlich vom System durchgeführt werden oder nicht:
6. Mangelhafte Passwortverwaltung
SAP-Anwender verwenden häufig in allen Systemen dasselbe Passwort. Sind Passwörter schwach oder enthält der Anwendersatz veraltete Hash-Werte, die auf der Grundlage bereits geknackter Hash-Algorithmen erstellt wurden (weil sie für die Kommunikation mit Altsystemen benötigt werden oder einfach vergessen wurden, gelöscht zu werden), stellen alle Tabellen, die Passwort-Hash-Werte enthalten, ein potenzielles Sicherheitsrisiko dar, da sie aus dem System exportiert und anschließend für Passwort-Hash-Angriffe genutzt werden können. Diese Tabellen sind:
7. Fehlen eines Notfallplans
Ein Schritt eines Reaktionsplans ist die forensische Analyse der Ursache und des Verursachers eines Systemausfalls, einer Datenmanipulation oder einer Datenpanne. Die Zuverlässigkeit der protokollierten Daten hängt davon ab, wie gut sie vor Manipulationen geschützt sind. Die meisten protokollierten Ereignisse werden in Tabellen gespeichert:
8. Unzureichende Protokollierung und Überwachung
Die Gewährleistung der Stabilität und Integrität der Konfigurationsdaten für die Protokollierung ist ebenso wichtig wie die Sicherung der bereits protokollierten Daten. Nur wenn schwerwiegende Ereignisse kontinuierlich erkannt und nachverfolgt werden, können sie im Falle eines Angriffsszenarios ordnungsgemäß analysiert werden. Betroffen sind folgende Tabellen:
Fazit
ERP-Systeme enthalten die Kronjuwelen eines Unternehmens. Eine ordnungsgemäße Systemkonfiguration in SAP ist entscheidend, um nicht Opfer von Cyberangriffen und Datenlecks zu werden. Während es bereits eine Herausforderung ist, bei allen Sicherheitseinstellungen und Patches stets auf dem neuesten Stand zu bleiben, könnte eine sichere Systemkonfiguration jederzeit Ziel einer böswilligen Manipulation werden, um einen zukünftigen Angriff vorzubereiten. Ein weiterer Aspekt ist das Löschen sicherheitsrelevanter Protokolldaten, was eine forensische Analyse nach einem Angriff unmöglich machen könnte. Da die meisten betroffenen Konfigurations- und Protokolldaten in Tabellen gespeichert sind, können sie leicht über Transporte manipuliert werden. Dies unterstreicht, wie wichtig es ist, alle Transporte sehr sorgfältig zu überwachen. Angesichts der hohen Anzahl von Transportaufträgen und Objekten, die durch die SAP-Landschaften bewegt werden, ist ein automatischer Scan und eine Analyse aller Transportaufträge dringend zu empfehlen. Nicht zuletzt können Transporte auch missbraucht werden, um beliebige Arten von ABAP- und SQL-Code sowie eine Vielzahl von Betriebssystembefehlen auf einem Produktionssystem auszuführen.
Weitere Informationen finden Sie in meinem Webcast„There’s a Ghost in your SAP“.