Cyberkriminelle nutzen Schwachstellen in ERP-Systemen aus, um finanziellen Gewinn zu erzielen

Von:

26. Oktober 2022

ERP-Systeme wie SAP und OracleE-Business Suite (EBS) sind der operative Motor eines Unternehmens: Sie führen geschäftskritische Anwendungen aus und speichern die Daten, die für den Geschäftsbetrieb erforderlich sind. Diese Systeme sind für das Unternehmen unverzichtbar, geraten jedoch fast immer in einen blinden Fleck der Cybersicherheit und bleiben ungeschützt vor internem Missbrauch und externen Angriffen. 

Onapsis Research Labs Hinweise auf die Ausnutzung von ERP-Systemen

Die Notwendigkeit, ERP-Anwendungen zu sichern, war noch nie so dringend wie heute. Angreifer verfügen über das nötige Fachwissen, um ungeschützte, geschäftskritische ERP-Anwendungen zu identifizieren und auszunutzen. 

Mehr als 400.000 Unternehmen vertrauen auf SAP-Software. Das Herzstück jeder SAP-Implementierung ist der SAP Internet Communication Manager (ICM), der für die Verarbeitung aller HTTP-Anfragen und -Antworten zuständig ist. Anfang dieses Jahres Onapsis Research Labs und das SAP Product Security Response Team (PSRT) gemeinsam drei kritische Sicherheitslücken entdeckt und behoben, die den SAP Internet Communication Manager (ICM) betrafen – eine Kernkomponente der SAP-Geschäftsanwendungen. 

Die ICMAD-Sicherheitslücken sind unter den Kennungen CVE-2022-22536, CVE-2022-22532 und CVE-2022-22533 erfasst – wobei die erste die höchstmögliche Risikobewertung von 10 von 10 Punkten erhielt, während die beiden anderen Bewertungen von 8,1 bzw. 7,5 erhielten. CVE-2022-22536 kann ausgenutzt werden, um jede SAP-NetWeaver-basierte Java- oder ABAP-Anwendung mit Standardkonfigurationen zu kompromittieren. Dies kann durch eine einzige Anfrage über den üblicherweise exponierten HTTP(S)-Dienst erreicht werden, wobei keine Authentifizierung erforderlich ist. 

Die möglichen Auswirkungen auf das Unternehmen können enorm sein. Eine erfolgreiche Ausnutzung der Schwachstellen könnte es einem Angreifer ermöglichen, verschiedene böswillige Aktionen durchzuführen, die das Unternehmen beeinträchtigen, darunter: 

  • Wichtige Daten von Kunden und Mitarbeitern stehlen
  • Missbrauch von Benutzeridentitäten, Diebstahl aller Zugangsdaten und persönlichen Daten
  • Entwendung sensibler oder vertraulicher Unternehmensdaten
  • Betrügerische Transaktionen und finanzieller Schaden
  • Änderung der Bankverbindung in einem Finanzsystem
  • Interner Denial-of-Service-Angriff, der geschäftskritische Systeme lahmlegt

Onapsis und SAP haben eng mit ihren Kunden zusammengearbeitet und ein kostenloses Tool zum Scannen nach Sicherheitslücken bereitgestellt, mit dem jeder SAP-Kunde seine gesamte SAP-Landschaft auf Anwendungen überprüfen kann, die von diesen Sicherheitslücken betroffen sind. Aufgrund der potenziellen geschäftlichen Auswirkungen hat die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) eine dieser kritischen SAP-Sicherheitslücken – CVE-2022-22536 – in ihren Katalog bekannter ausgenutzter Sicherheitslücken (KEV) aufgenommen. 

Im Fall von „Elephant Beetle“ zielte die Hackergruppe auf nicht gepatchte ERP-Anwendungen und Webserver ab und plante Finanzdiebstahloperationen sorgfältig in mehreren Phasen. Sie verbrachte mehrere Monate damit, Angriffe vorzubereiten, bei denen über lange Zeiträume hinweg kleine Beträge gestohlen wurden, die sich in der Regel auf Millionen beliefen. Zwei der von Elephant Beetle ausgenutzten Sicherheitslücken betreffen SAP-NetWeaver-Java-Systeme: CVE-2010-5326 und EDB-ID-24963 sind bereits recht alt und stammen aus dem Jahr 2016, als die CISA ihren allerersten US-CERT-Bericht zur ERP-Sicherheit veröffentlichte. 

Cloud Threat Intelligence Cloud Onapsis Research LabsCloud Aktivitäten im Zusammenhang mit den beiden im Sygnia-Bericht erwähnten SAP-NetWeaver-Java-SicherheitslückenCloud . Dabei wurde festgestellt, dass es seit Januar 2020 über 350 Ausnutzungsversuche gab. Zudem stammte die überwiegende Mehrheit der von Onapsis beobachteten Exploit-Versuche aus Asien und den USA, was darauf hindeutet, dass es sich nicht um ein regional begrenztes, sondern um ein globales Phänomen handelt. Warum ist das so? Für motivierte Cyberangreifer ist es heute einfacher denn je, sich fundiertere Kenntnisse und Fähigkeiten anzueignen, die es ihnen ermöglichen, diese ausgefeilteren Angriffe auf komplexere und nicht gepatchte ERP-Anwendungen durchzuführen. 

Die Untersuchungen Onapsis Research Labsergaben zudem Hinweise auf Hunderte von „Hands-on-Keyboard“-Sitzungen, die auf anfällige ERP-Systeme abzielten, darunter Beispiele dafür, wie Angreifer Ressourcen vor Ort nutzten, mehrere Schwachstellen miteinander verknüpften und nach dem Einbruch sogar Patches installierten, um ihre Spuren zu verwischen. Dieser Trend verdeutlicht die Notwendigkeit, die Einfallstore zu schließen, die Angreifer nutzen, um überhaupt erst einzudringen – denn sobald sie drinnen sind, bleiben sie auf Dauer, und ihre Bemühungen erweisen sich als erfolgreich. 

Ein besserer Ansatz für die ERP-Sicherheit

ERP-Systeme sind komplex, doch die ERP-Sicherheit muss nicht kompliziert sein. Für Unternehmen ist es von größter Bedeutung, ihre ERP-Sicherheitsprozesse zu stärken, um es Angreifern deutlich schwerer zu machen, einen ersten Zugriff zu erlangen. Erst dann werden echte Fortschritte bei der Minimierung des Risikos dieser kritischen Schwachstellen und beim Schutz unserer wichtigsten Unternehmensressourcen erzielt. 

Eine Möglichkeit für Unternehmen, Bedrohungen einen Schritt voraus zu sein, besteht darin, gezielte threat intelligence zu beschaffen und zu nutzen, die Einblicke in die Taktiken, Techniken und Vorgehensweisen (TTPs) von Angreifern liefern und so Schutz vor der Veröffentlichung von Patches bieten. Threat intelligence können Warnmeldungen zu Ransomware-Kampagnen sowie umsetzbare Erkenntnisse für Sicherheitsteams bereitstellen.

Onapsis Research Labs das weltweit führende Team von Sicherheitsexperten, das sein fundiertes Wissen über kritische ERP-Anwendungen mit jahrzehntelanger threat research in threat research kombiniert, um aussagekräftige Sicherheitserkenntnisse und threat intelligence auf ERP-Systemen zu liefern. Onapsis aktualisiert seine Produkte automatisch mit den neuesten threat intelligence und Sicherheitsempfehlungen aus den Onapsis Research Labs. Dies bietet Kunden frühzeitige Benachrichtigungen über kritische Probleme, umfassende Abdeckung, verbesserte Konfigurationen und Schutz vor der Veröffentlichung von Patches noch vor den geplanten Updates der Hersteller. Die kontinuierlichen Erkenntnisse der Onapsis Research Labs die Platform den sich ständig weiterentwickelnden Cybersicherheitsbedrohungen immer Platform Onapsis Research Labs .

Erfahren Sie unten mehr über unsere Lösungen:

Schwachstellenmanagement:Onapsis Assess Ihnen eine grafische Übersicht über Systeme und deren Vernetzung und liefert Einblicke in Anwendungen – deren Hauptnutzung und Prozesse sowie die wichtigsten Informationsressourcen, die sie verwalten. Nutzer können Risiken durch automatisierte Bewertungen identifizieren und nachvollziehen. Assess die Angriffsfläche. Die kontinuierliche Überwachung des Systemzustands sorgt für Transparenz hinsichtlich Fehlkonfigurationen und unbefugter Änderungen, die zu Problemen in Bezug auf Sicherheit, Compliance oder Verfügbarkeit führen können.

Erkennung und Reaktion auf Bedrohungen: Onapsis Defend die Risikominderung und -behebung beschleunigen. Durch kontinuierliche Überwachung werden interne und externe Bedrohungen sowie Änderungen, Transaktionen und Benutzeraktivitäten erkannt, die Risiken mit sich bringen oder die Compliance beeinträchtigen. Benutzer können sofort auf neue Bedrohungen reagieren, und die Integration mit SIEM-Tools liefert Echtzeit-Warnmeldungen zu potenziellen neuen Risiken oder Hinweisen auf Exploits. Mit Defend können Kunden die Behebung von Problemen auf der Grundlage des Geschäftsrisikos priorisieren. 

Sicherheitstests für Anwendungen: Onapsis Control Sicherheit in Ihre Entwicklungsprozesse. Durch automatisierte Code-Analysen lassen sich Sicherheits-, Compliance- und Qualitätsprobleme schnell erkennen, bevor sie zu Problemen führen können. Control Analysen und Überprüfungen von benutzerdefiniertem Code und deckt Probleme auf, die Ihr Unternehmen dem Risiko von Angriffen, Compliance-Verstößen oder Anwendungsausfällen aussetzen könnten. 

Stichworte, , , , ,
Über den Autor

Onapsis Research Labs

Onapsis Research Labs ist ein Team aus weltweit führenden Cybersicherheitsexperten, das sich der Aufdeckung und Abwehr von Bedrohungen in geschäftskritischen Anwendungen widmet. Als produktivster Mitwirkender an der Sicherheitsforschung von SAP und Oracle hat das Team über 1.000 Zero-Day-Schwachstellen entdeckt und bei deren Behebung geholfen. Seine threat intelligence die Onapsis Platformund stellt sicher, dass Unternehmen defend ERP-Landschaften vor den neuesten, raffinierten Angriffen defend können, bevor diese in der Praxis ausgenutzt werden.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen