Ungepatchte ERP-Sicherheitslücken machen Unternehmen zu schaffen

Von:

14. Oktober 2022

Es ist die Zeit der Geister, Hexen und Kobolde, doch das ist nicht das, was Cybersicherheitsexperten nachts wach hält … Es ist vielmehr die Herausforderung, Schwachstellen zu identifizieren, Patches zu priorisieren und Cyberangriffe auf geschäftskritische ERP-Daten und -Systeme (Enterprise Resource Planning) zu verhindern. Lassen Sie an diesem Halloween nicht zu, dass ungepatchte ERP-Schwachstellen zu einem Problem für Ihr Unternehmen werden. Lesen Sie weiter und erfahren Sie die gruselige Geschichte, wie die Hackergruppe „Elephant Beetle“ diskret Millionen von Dollar aus den Systemen von Finanzunternehmen gestohlen hat, während sie sich in aller Öffentlichkeit versteckte, und wie Ihr Unternehmen die Sicherheit Ihres ERP-Systems stärken kann.

Anfang dieses Jahres veröffentlichten Forscher des Incident-Response-Teams von Sygnia einen Bericht, in dem sie die Aktivitäten der Hackergruppe „Elephant Beetle“ detailliert beschrieben. Für ihre Java-basierten Angriffe nutzt Elephant Beetle ein umfangreiches Arsenal von mehr als 80 verschiedenen Tools und Skripten. Die Hackergruppe plante ihre Finanzdiebstähle sorgfältig in mehreren Phasen und verbrachte mehrere Monate damit, Angriffe vorzubereiten, bei denen über lange Zeiträume hinweg kleine Beträge gestohlen wurden, die sich in der Regel auf Millionen beliefen. 

Zwei der von Elephant Beetle ausgenutzten Sicherheitslücken – der SAP NetWeaver Invoker Servlet Exploit (CVE-2010-5326) und die SAP NetWeaver ConfigServlet-Schwachstelle zur Ausführung von Remote-Code (EDB-ID-24963) – sind schon recht alt. Dennoch werden sie nach wie vor von Angreifern ausgenutzt. CVE-2010-5326 war die allererste US-CERT-Warnung im Zusammenhang mit der Cybersicherheit von SAP im Jahr 2016. Und diese US-CERT-Warnung bezog sich, obwohl sie 2016 herausgegeben wurde, auf eine bereits fünf Jahre zuvor behobene Schwachstelle. Für beide Schwachstellen gibt es bereits Patches.Cloud Threat Intelligence Cloud Onapsis Research LabsCloud Aktivitäten im Zusammenhang mit den beiden SAP NetWeaver Java-Sicherheitslücken und stellte seit Januar 2020 über 350 Ausnutzungsversuche fest. Ältere, ungepatchte Sicherheitslücken werden weiterhin von Angreifern ausgenutzt und werden auch weiterhin ein Problem für Unternehmen darstellen, die nicht über die richtigen Tools zur Identifizierung, Priorisierung und Behebung verfügen.

Was Elephant Beetle von den unzähligen anderen Schlagzeilen in den Nachrichten unterscheidet, ist die Art ihrer Angriffe – methodisch, ausgeklügelt und geduldig. Ihre Taktiken, Techniken und Vorgehensweisen spiegeln den Trend wider, über den Onapsis Research Labs SAP im vergangenen Jahr gemeinsam berichteten: Angreifer verfügen über fundiertere Kenntnisse und Fähigkeiten, die es ihnen ermöglichen, ausgefeiltere Angriffe auf komplexere und ungepatchte geschäftskritische Anwendungen durchzuführen. threat research Onapsis Research Labs threat research Hinweise auf Hunderte von „Hands-on-Keyboard“-Sitzungen, die auf anfällige ERP-Systeme abzielten, darunter Beispiele für Angreifer, die sich aus den vorhandenen Ressourcen versorgten, mehrere Schwachstellen miteinander verknüpften und nach der Ausnutzung sogar Patches installierten, um ihre Spuren zu verwischen. Dieser Trend verdeutlicht die Notwendigkeit, die Einstiegspunkte zu schließen, die Angreifer nutzen, um überhaupt erst einzudringen – denn sobald sie einmal drinnen sind, bleiben sie auf Dauer und ihre Bemühungen erweisen sich als erfolgreich. 

Diese älteren, ungepatchten Sicherheitslücken haben uns gezeigt, dass Unternehmen ihre Sicherheitsprozesse für ERP-Anwendungen durch Verfahren und Tools verstärken müssen, um es Angreifern deutlich schwerer zu machen, einen ersten Zugriff zu erlangen. Das Patchen von Anwendungen und das Schwachstellenmanagement können eine Herausforderung darstellen und zeitaufwändig sein (müssen es aber nicht), doch nur weil eine Sicherheitslücke alt ist, bedeutet das nicht, dass sie kein Risiko mehr für Ihr Unternehmen und dessen finanzielle Gesundheit darstellt. Sie können davon ausgehen, dass auch raffiniertere, methodisch vorgehende Angreifer die Veröffentlichung von Patches im Auge behalten. Untersuchungen von SAP, CISA und Onapsis ergaben, dass kritische SAP-Schwachstellen bereits weniger als 72 Stunden nach Veröffentlichung des Patches ausgenutzt wurden. Die Zeitlücke zwischen der Entdeckung einer Schwachstelle und der Bereitstellung eines Patches ist jedoch viel länger; die durchschnittliche Zeit für die Anwendung, das Testen und die vollständige Bereitstellung eines Patches beträgt 97Tage1

Jetzt ansehen: Aktuelle Angriffe und bewährte Verfahren zur Bekämpfung der sich rasch wandelnden Bedrohungslage für ERP-Anwendungen

Machen Sie die ERP-Sicherheit zu einer Priorität 

„Elephant Beetle“ hat uns gezeigt, dass wir den Sicherheitsstatus unserer ERP-Anwendungslandschaft gründlich unter die Lupe nehmen müssen. Für Unternehmen ist es von größter Bedeutung, ihre ERP-Sicherheitsprozesse zu stärken, um es Angreifern deutlich schwerer zu machen, einen ersten Zugriff zu erlangen. Erst dann werden wir echte Fortschritte bei der Minimierung des Risikos dieser kritischen Schwachstellen und beim Schutz unserer wichtigsten Unternehmensressourcen erzielt haben. Hier sind drei Schritte, die Unternehmen unternehmen können, um die ERP-Sicherheit zu einer Priorität zu machen:

  • Führen Sie ein Schwachstellenmanagementprogramm ein, das speziell auf den Schutz von ERP-Anwendungen ausgerichtet ist: Angesichtsder Häufigkeit von Releases, der Komplexität von Patch-Prozessen und der Größe der Anwendungslandschaften können Unternehmen mit einem wachsenden Rückstau an Patches konfrontiert sein und über keine geeigneten Tools zur Priorisierung verfügen. Ein Schwachstellenmanagementprogramm, das speziell auf diese komplexen und kritischen Systeme zugeschnitten ist, kann dabei helfen, Transparenz zu schaffen, Dashboards bereitzustellen, Prozesse zu automatisieren und vieles mehr. 
  • Integrieren Sie Tests zur Anwendungssicherheit in die Entwicklungsprozesse von ERP-Anwendungen: Unternehmen benötigen eine Möglichkeit, um sicherzustellen, dass sie qualitativ hochwertigen und sicheren Code schreiben. Viele ERP-Anwendungen umfassen Millionen von Codezeilen, was es erschwert, selbst häufige Fehler während der Entwicklung manuell zu identifizieren und zu beheben. Probleme zu beheben, bevor sie in die Produktion gelangen, ist einfacher und kostengünstiger und hilft, negative Auswirkungen auf die Systemsicherheit, Compliance, Leistung oder Verfügbarkeit zu vermeiden. 
  • Überwachen Sie interne und externe Bedrohungen kontinuierlich mithilfe von Bedrohungserkennung und -reaktion: Geschäftskritische ERP-Anwendungen sind ein attraktives Ziel für Angreifer. Die Überwachung auf unbefugte Änderungen, Missbrauch oder Anzeichen für Angriffe ist unerlässlich, um solche böswilligen Aktivitäten frühzeitig zu erkennen und Maßnahmen zu ergreifen, die schwerwiegende Folgen verhindern.

Wenn Sie sich eingehend mit einer konkreten case study Angriff durch den „Elephant Beetle“ und den Maßnahmen zur Reaktion darauf befassen möchten, sehen Sie sich diese Sitzung mit Forschern von Sygnia und Onapsis an.

Weitere Threat Intelligence Onapsis Research Labs

ICMAD-Sicherheitslücken im SAP Internet Communication Manager

Onapsis und SAP haben gemeinsam eine Reihe von drei Sicherheitslücken entdeckt und Maßnahmen zu deren Behebung ergriffen, die die Komponente „SAP Internet Communication Manager“ (ICM) betreffen. Eine der Schwachstellen, CVE-2022-22536, erhielt einen CVSS-Wert von 10. Infolgedessen hat die CISA eine „Current Activity Alert“-Warnung herausgegeben. Werden diese Schwachstellen ausgenutzt, ermöglichen sie es Angreifern, aus der Ferne schwerwiegende böswillige Aktivitäten gegen SAP-Benutzer, Geschäftsinformationen und Prozesse durchzuführen – und letztlich ungepatchte SAP-Anwendungen zu kompromittieren.

Aktuelle Cyberangriffe auf geschäftskritische SAP-Anwendungen

Im April 2021 Onapsis Research Labs threat intelligence SAP threat intelligence . Die Daten zeigen, dass sich die Bedrohungslage in den letzten Jahren nicht nur ausgeweitet hat, sondern dass die Angreifer zudem raffinierter vorgehen, bekannte Sicherheitslücken ausnutzen und schnell handeln. 

Monatliche SAP-Sicherheitshinweise

Onapsis Research Labs beteiligt sich Onapsis Research Labs am SAP Patch Day und veröffentlicht seine Analysen jeden Patch Tuesday.

1 Die dritte jährliche Studie zum Stand der Risiken im Bereich Endpoint-Sicherheit – Ponemon Institute LLC Erscheinungsdatum: Januar 2020
Stichworte, , , , ,
Über den Autor

Onapsis Research Labs

Onapsis Research Labs ist ein Team aus weltweit führenden Cybersicherheitsexperten, das sich der Aufdeckung und Abwehr von Bedrohungen in geschäftskritischen Anwendungen widmet. Als produktivster Mitwirkender an der Sicherheitsforschung von SAP und Oracle hat das Team über 1.000 Zero-Day-Schwachstellen entdeckt und bei deren Behebung geholfen. Seine threat intelligence die Onapsis Platformund stellt sicher, dass Unternehmen defend ERP-Landschaften vor den neuesten, raffinierten Angriffen defend können, bevor diese in der Praxis ausgenutzt werden.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen