Drei aktiv ausgenutzte SAP-Sicherheitslücken, die von Onapsis Research Labs identifiziert wurden: Was Sie wissen müssen

Von:

9. Juni 2022

Die Onapsis Research Labs beobachten kontinuierlich die sich ständig verändernde Bedrohungslandschaft, um besser zu verstehen, welche Methoden eingesetzt werden, um Unternehmensanwendungen wie SAP und Oracle anzugreifen. Dank ihrer eingehenden Analysen Onapsis Research Labs die Onapsis Research Labs neue Bedrohungen, Aktivitäten und Schwachstellen sowie Verhaltensänderungen, die das Risiko für geschäftskritische Anwendungen erhöhen, schneller Onapsis Research Labs . Diese Erkenntnisse sind entscheidend, damit Unternehmen ihre Maßnahmen effizienter priorisieren und effektiver auf die neuesten Schwachstellen reagieren können. 

Jetzt ansehen: Aktive SAP-Exploit-Aktivitäten von den Onapsis Research Labs identifiziert

Unsere Untersuchungen haben kürzlich Angriffe im Zusammenhang mit drei Sicherheitslücken aufgedeckt, die von SAP bereits behoben wurden – CVE-2021-38163, CVE-2016-2386 und CVE-2016-2388. Bei diesen drei Sicherheitslücken sind einige Faktoren besonders interessant:

  1. Zwei von drei dieser CVEs weisen eine kritische CVSS-Bewertung auf
  2. Für die meisten dieser CVEs gibt öffentlich zugängliche PoCs und Exploits
  3. Die meisten dieser CVEs können aus der Ferne und über HTTP(s)-Protokolle ausgenutzt werden

Glücklicherweise führt die CISA einen Katalog bekannter ausgenutzter Sicherheitslücken, der sich für Unternehmen als äußerst hilfreich erwiesen hat, um Prioritäten bei der Behebung von Sicherheitslücken zu setzen. Dieser im Rahmen von BOD-21 eingerichtete Katalog enthält eine Liste von Sicherheitslücken, die anhand ihrer CVE-Kennung identifiziert wurden und deren Aufnahme von der CISA als gerechtfertigt erachtet wird, da zuverlässige Hinweise darauf vorliegen, dass sie derzeit von Angreifern aktiv gegen öffentliche oder private Organisationen ausgenutzt werden. Um in diesen Katalog aufgenommen zu werden, müssen Schwachstellen über einen zugewiesenen CVE-Eintrag verfügen, es müssen Hinweise auf aktive Ausnutzung vorliegen und es muss eine klare Anleitung zur Behebung vorhanden sein (z. B. SAP-Sicherheitshinweise, Microsoft-Patches). Seit der Erstellung des Katalogs im November 2021 hat die CISA sechs Schwachstellen aufgenommen, die ungeschützte, nicht gepatchte SAP-Anwendungen betreffen und für die es Hinweise auf aktive Ausnutzung gibt.  

Die CISA hat heute diesen Katalog bekannter ausgenutzter Sicherheitslücken um die drei oben genannten Sicherheitslücken erweitert.

Positiv zu vermerken ist, dass die Aufnahme in den Katalog bedeutet, dass es klare Anleitungen zur Behebung dieser Sicherheitslücken aus den Jahren 2016 und 2021 gibt. Um diese Bemühungen zu unterstützen, hat SAP für alle diese Sicherheitslücken SAP-Sicherheitshinweise veröffentlicht. Wenn Sie SAP-Kunde sind, finden Sie Informationen zu diesen Patches hier:

Angreifer können und werden alles nutzen, was ihnen zur Verfügung steht, um ihr Ziel zu erreichen, Unternehmensanwendungen zu kompromittieren – was mittlerweile oft direkte Angriffe auf diese geschäftskritischen Anwendungen selbst beinhaltet. SAP, CISA und Onapsis haben threat intelligence veröffentlicht, threat intelligence dieses wachsende Wissen und die zunehmenden Ausnutzungsversuche im Zusammenhang mit älteren Sicherheitslücken in ungepatchten, ungeschützten SAP-Systemen dokumentieren. Die heutige Einbeziehung dieser drei älteren SAP-Sicherheitslücken zeigt, dass sich dieser Trend fortsetzt. Es ist wichtig sicherzustellen, dass Ihre kritischen Systeme über diese SAP-Sicherheitshinweise effektiv angewendet werden. 

Abschließend Onapsis Research Labs , dass ein Sicherheitsprogramm das Gesamtrisiko kontinuierlich bewerten sollte, anstatt erst reaktiv auf kritische Schwachstellen zu reagieren, wenn neue CVEs gemeldet werden. Es ist wichtig, dass ein Unternehmen schnell auf Schwachstellen und Exploits reagiert (und diese entsprechend mindert oder patcht), doch die Fähigkeit, die Sicherheitslage in der gesamten Unternehmensanwendungslandschaft besser zu erfassen (z. B. Einblick in unzulässige Berechtigungen, erweiterte Privilegien, Fehlkonfigurationen, anomales Verhalten) und das Eindringen neuer Schwachstellen in ERP-Umgebungen durch neuen benutzerdefinierten Code zu verhindern, ist für die Risikominimierung von entscheidender Bedeutung.

Wir empfehlen Unternehmen, die geschäftskritische Anwendungen wie SAP und Oracle einsetzen, sicherzustellen, dass die richtigen Prozesse vorhanden sind, um Risiken besser zu bewältigen. Mit über einem Jahrzehnt threat research in threat research kann Onapsis Ihnen mit umfassenden Einblicken und Automatisierungsfunktionen dabei helfen, die richtigen Prozesse zu entwickeln und in Ihre bestehenden Sicherheitsprogramme zu integrieren, um das Gesamtrisiko zu senken. Kontaktieren Sie noch heute einen Experten, um weitere Informationen zu erhalten.

Jetzt ansehen: Aktive SAP-Exploit-Aktivitäten von den Onapsis Research Labs identifiziert

Stichwörter, , , , ,
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen