Pressemitteilung
Onapsis und SAP arbeiten zusammen, um kritische Cybersicherheitslücken zu identifizieren und zu beheben
SAP hat einen Patch für betroffene Systeme veröffentlicht, und Onapsis stellt ein kostenloses Open-Source-Tool zum Scannen von Sicherheitslücken zur Verfügung, damit SAP-Kunden diese umgehend beheben können
BOSTON, 8. Februar 2022 – Onapsis, der Marktführer im Bereich Cybersicherheit und Compliance für geschäftskritische Anwendungen, gab heute bekannt, dass die Onapsis Research Labs das SAP Product Security Response Team gemeinsam kritische, ausnutzbare Sicherheitslücken im Netzwerk entdeckt und behoben haben, die den Internet Communication Manager (ICM) betreffen, eine Kernkomponente der SAP-Geschäftsanwendungen. SAP hat diese Sicherheitslücken umgehend behoben.
Sowohl SAP als auch Onapsis raten betroffenen Unternehmen, die Sicherheitshinweise 3123396 und 3123427 unverzüglich auf ihre betroffenen SAP-Anwendungen anzuwenden. Werden diese als „ICMAD“ bezeichneten Sicherheitslücken ausgenutzt, ermöglichen sie Angreifern, schwerwiegende böswillige Aktivitäten gegen SAP-Benutzer, Geschäftsdaten und Prozesse durchzuführen – und letztlich ungeschützte SAP-Anwendungen zu kompromittieren.
Die einzelnen ICMAD-Sicherheitslücken sind unter den Kennungen CVE-2022-22536, CVE-2022-22532 und CVE-2022-22533 erfasst – wobei die erste die höchstmögliche Risikobewertung von 10 von 10 Punkten erhielt, während die beiden anderen Bewertungen von 8,1 bzw. 7,5 Punkten erhielten. Die Cybersecurity and Infrastructure Security Agency (CISA) des US-Heimatschutzministeriums hat eineaktuelle Aktivitätswarnungzu diesen Schwachstellen herausgegeben.
„Diese Sicherheitslücken können über das Internet ausgenutzt werden, ohne dass sich Angreifer in den Zielsystemen authentifizieren müssen, was sie besonders kritisch macht“, sagte Mariano Nunez, CEO und Mitbegründer von Onapsis. „Wir begrüßen die schnelle Reaktion von SAP und die Zusammenarbeit mit Onapsis Research Labs unsere Experten das Unternehmen benachrichtigt hatten. Von der raschen Veröffentlichung von Patches über die Zusammenarbeit mit unserem Team zur Überprüfung der Wirksamkeit dieser Patches bis hin zur proaktiven Benachrichtigung betroffener Kunden und der breiteren Sicherheitsgemeinschaft – SAP setzt Maßstäbe dafür, wie die Offenlegung und Reaktion auf Sicherheitslücken aussehen sollte und wie die Zusammenarbeit mit vertrauenswürdigen Partnern wie Onapsis zum besseren Schutz seiner Kunden beiträgt.“
Die gründlichen Untersuchungen Onapsis Research Labszum Thema „HTTP Smuggling“ im vergangenen Jahr führten zur Entdeckung dieser Sicherheitslücken. Angreifer können unter Ausnutzung dieser HTTP-Smuggling-Techniken schädliche Payloads versenden und SAP-Java- oder ABAP-Systeme mit einer HTTP-Anfrage erfolgreich ausnutzen, die von einer gültigen Nachricht nicht zu unterscheiden ist. Diese Sicherheitslücken können in betroffenen Systemen über das Internet und vor der Authentifizierung ausgenutzt werden, was bedeutet, dass sie durch Maßnahmen zur Multi-Faktor-Authentifizierung nicht abgewehrt werden können.
„SAP hat eine Partnerschaft mit Onapsis geschlossen, um sichere Lösungen für unseren weltweiten Kundenstamm zu gewährleisten“, sagte Richard Puckett, Chief Information Security Officer bei SAP. „Durch die Zusammenarbeit mit wichtigen Partnern wie Onapsis kann SAP seinen Kunden eine möglichst sichere Umgebung bieten. Wir empfehlen allen SAP-Kunden dringend, ihre Unternehmen zu schützen, indem sie die entsprechenden SAP-Sicherheitspatches so schnell wie möglich installieren.“
Was sind die ICMAD-Sicherheitslücken?
ICM ist die SAP-Komponente, die die HTTP(S)-Kommunikation in SAP-Systemen ermöglicht. Da ICM von Natur aus dem Internet und nicht vertrauenswürdigen Netzwerken ausgesetzt ist, stellen Sicherheitslücken in dieser Komponente ein erhöhtes Risiko dar.
Empfehlungen zur Behebung
SAP und Onapsis sind derzeit keine bekannten Sicherheitsverletzungen bei Kunden im Zusammenhang mit diesen Schwachstellen bekannt, raten den betroffenen Unternehmen jedoch dringend, die Sicherheitshinweise 3123396 und 3123427 unverzüglich auf ihre betroffenen SAP-Anwendungen anzuwenden.
Onapsis-Kunden, die über Defend „Onapsis Assess „Onapsis Defend verfügen, sind bereits vor diesen kritischen Sicherheitslücken geschützt.
Onapsis hat zudem ein kostenloses Open-Source-Tool veröffentlicht, mit dem Unternehmen ihre SAP-Landschaft auf betroffene Anwendungen überprüfen können. Es steht hier zum Download bereit.
„Wie wir anhand aktueller threat intelligence festgestellt haben, nehmen Angreifer geschäftskritische Anwendungen wie SAP aktiv ins Visier und verfügen über das Fachwissen und die Werkzeuge, um raffinierte Angriffe durchzuführen“, sagte Nunez. „Die Aufdeckung und Behebung der ICMAD-Schwachstellen sowie der zuvor von Onapsis Research Labs identifizierten Schwachstellen wie RECON und 10KBLAZE sind unerlässlich für den Schutz der geschäftskritischen Anwendungen, auf denen 92 % der Forbes Global 2000-Unternehmen basieren. Ich bin stolz auf die Arbeit unserer Forscher, die diese Schwachstellen aufgedeckt haben, damit sie behoben werden konnten, und lobe SAP für seine Reaktion und Zusammenarbeit.“
SAP empfiehlt seinen Kunden, betroffene Systeme umgehend zu patchen. Patches werden am „Patch Tuesday“ von SAP, dem zweiten Dienstag jedes Monats, veröffentlicht. Weitere Informationen finden Sie im Patch Day WIKI von SAP.
Um mehr über diese Sicherheitslücken zu erfahren, nehmen Sie am kommenden Webinar teil und laden Sie den aktuellen Bedrohungsbericht von Onapsis herunter. Weitere Informationen zu Onapsis Research Labs Einzelheiten zu den Forschungsarbeiten finden Sie unter: platform
Über Onapsis
Onapsis schützt die geschäftskritischen Anwendungen, die die Weltwirtschaft am Laufen halten – vom Kernsystem bis zur cloud. Das Lösungsangebot des Unternehmens für Cybersicherheit und Compliance, die Platform, bietet in einzigartiger Weise Schwachstellenmanagement, Erkennung und Reaktion auf Bedrohungen, Änderungssicherung sowie kontinuierliche Compliance für geschäftskritische Anwendungen führender Anbieter wie SAP, Oracle, Salesforce und anderer SaaS-Plattformen.
Onapsis hat seinen Hauptsitz in Boston, Massachusetts, und unterhält Niederlassungen in Heidelberg (Deutschland) und Buenos Aires (Argentinien). Das Unternehmen ist stolz darauf, mehr als 300 der weltweit führenden Marken zu betreuen, darunter 20 % der Fortune-100-Unternehmen, 6 der 10 größten Automobilhersteller, 5 der 10 größten Chemieunternehmen, 4 der 10 größten Technologieunternehmen und 3 der 10 größten Öl- und Gasunternehmen.
Die Platform von den Onapsis Research Labs unterstützt, dem Team, das für die Aufdeckung und Behebung von mehr als 800 Zero-Day-Schwachstellen in geschäftskritischen Anwendungen verantwortlich ist. Die Reichweite unserer threat research platform durch führende Beratungs- und Wirtschaftsprüfungsunternehmen wie Accenture, Deloitte, IBM, PwC und Verizon erweitert – damit sind Onapsis-Lösungen der Standard, wenn es darum geht, Unternehmen beim Schutz ihrer geschäftskritischen Informationen und Prozesse cloud, in Hybridumgebungen und vor Ort zu unterstützen. Für weitere Informationen folgen Sie uns auf Twitter oder LinkedIn oder besuchen Sie uns unter https://onapsis.com.