Pressemitteilung

Onapsis unterstützt SAP dabei, 40.000 Kunden vor der neuen kritischen Cybersicherheitslücke „RECON“ zu schützen

14. Juli 2020

SAP und Onapsis beheben gemeinsam einen kritischen Sicherheitsfehler in Rekordzeit; CERTs in den USA, Deutschland und weltweit geben eine Warnung der höchsten Stufe heraus, um Unternehmen beim Schutz ihrer geschäftskritischen SAP-Anwendungen zu unterstützen

BOSTON – 14. Juli 2020 – Onapsis, der Marktführer im Bereich Cybersicherheit und Compliance für geschäftskritische Anwendungen, gab heute bekannt, dass die Onapsis Research Labs das SAP Security Response Team gemeinsam daran gearbeitet haben, eine schwerwiegende Sicherheitslücke namens RECON (Remotely Exploitable Code On NetWeaver) zu beheben, von der mehr als 40.000 SAP-Kunden betroffen sind, wobei Systeme mit Internetanbindung einem erhöhten Risiko ausgesetzt sind. Infolgedessen hat das US-Heimatschutzministerium (DHS) in Abstimmung mit dem BSI CERT-Bund die US-CERT-Warnung AA20-195A herausgegeben, woraufhin weitere globale Organisationen Warnungen vor potenziellen Bedrohungen im Zusammenhang mit dieser Schwachstelle veröffentlichten.

„Seit Jahren teilt Onapsis SAP seine Ergebnisse aus der Forschung zu hochkomplexen Sicherheitslücken verantwortungsbewusst mit, was es uns ermöglicht hat, unseren Kunden sicherere Produkte anzubieten. Dank Onapsis beheben wir in der heutigen Ausgabe der SAP Security Notes eine hochkritische Sicherheitslücke, was uns in Rekordzeit gelungen ist“, sagte Tim McKnight, Executive Vice President und Chief Security Officer bei SAP. „Diese Zusammenarbeit unterstreicht das gemeinsame Ziel beider Unternehmen, die Sicherheit unserer Kunden zu gewährleisten und sie vor Sicherheitslücken und neuen Bedrohungen zu schützen.“

Die als „HotNews#2934135“ in der heutigen Ausgabe der SAP Security Notes aufgeführte RECON-Sicherheitslücke weist einen CVSS-Wert von 10 von 10 Punkten auf (höchste Schweregradstufe) und kann potenziell ausgenutzt werden, was die Vertraulichkeit, Integrität und Verfügbarkeit geschäftskritischer SAP-Anwendungen beeinträchtigen kann.

„Der Schutz geschäftskritischer Anwendungen cloud vor Ort, wie beispielsweise SAP, Oracle, Salesforce und Workday, hat sowohl für private als auch für öffentliche Organisationen höchste Priorität. Angesichts der zunehmenden Bedrohungen für diese intelligenten Plattformen ist es erfreulich zu sehen, dass vertrauenswürdige Cybersicherheitsunternehmen wie Onapsis eng mit Lösungsanbietern zusammenarbeiten, um die Cyberabwehr zu stärken und das Risiko groß angelegter Datenverletzungen und Betriebsunterbrechungen zu minimieren“, kommentierte Gerhard Eschelbeck, ehemaliger CISO bei Google und Vorstandsmitglied bei Onapsis.

Was ist die RECON-Sicherheitslücke?

Die Onapsis Research Labs haben eine schwerwiegende Zero-Day-Sicherheitslücke entdeckt, die eine Standardkomponente betrifft, die in jeder SAP-Anwendung vorhanden ist, auf der der SAP NetWeaver Java-Technologie-Stack läuft. Diese technische Komponente wird in vielen SAP-Geschäftslösungen verwendet, darunter SAP SCM, SAP CRM, SAP Enterprise Portal, SAP Process Integration, SAP Solution Manager (SolMan) und viele andere, wodurch diese Lösungen effektiv für dieses Risiko anfällig sind.

Wird diese Schwachstelle ausgenutzt, kann ein nicht authentifizierter Angreifer (ohne Benutzername oder Passwort) einen neuen SAP-Benutzer mit maximalen Berechtigungen anlegen, dabei alle Zugriffs- und Autorisierungskontrollen (wie z. B. Aufgabentrennung, Identitätsmanagement und GRC-Lösungen) umgehen und control vollständige control SAP-Systeme erlangen. Die RECON-Sicherheitslücke ist besonders gefährlich, da viele der betroffenen Lösungen häufig mit dem Internet verbunden sind, um Unternehmen mit Geschäftspartnern, Mitarbeitern und Kunden zu vernetzen, was die Wahrscheinlichkeit von Fernangriffen drastisch erhöht. Onapsis schätzt, dass mindestens 2.500 anfällige SAP-Systeme direkt mit dem Internet verbunden sind, davon 33 % in Nordamerika, 29 % in Europa und 27 % im asiatisch-pazifischen Raum.

Durch Ausnutzung dieser Sicherheitslücke können interne und externe Angreifer verschiedene böswillige Aktivitäten durchführen, darunter:

  • Persönliche Daten von Mitarbeitern, Kunden und Lieferanten stehlen
  • Finanzunterlagen einsehen/ändern
  • Bankverbindung ändern (Kontonummer, IBAN usw.)
  • Einkaufsprozesse verwalten
  • Den Betrieb des Systems stören, indem Daten beschädigt oder das System vollständig heruntergefahren wird
  • Durch die Ausführung von Betriebssystembefehlen uneingeschränkte Aktionen ausführen
  • Spuren, Protokolle und andere Dateien löschen oder bearbeiten

Da ein Angreifer durch die Ausnutzung nicht gepatchter Systeme uneingeschränkten Zugriff erlangen könnte, stellt diese Sicherheitslücke möglicherweise auch einen Mangel in den IT-Kontrollmechanismen eines Unternehmens im Hinblick auf gesetzliche Vorschriften dar – was sich potenziell auf die Einhaltung finanzieller Vorschriften (Sarbanes-Oxley) und Datenschutzbestimmungen (DSGVO) auswirken könnte.

Weitere Informationen zur RECON-Sicherheitslücke finden Sie hier im Onapsis-Bedrohungsbericht.

„Es ist großartig zu sehen, mit welcher Geschwindigkeit SAP einen offiziellen Patch entwickeln und veröffentlichen konnte, nachdem die Onapsis Research Labs diese Zero-Day-Sicherheitslücke Onapsis Research Labs und gemeldet hatten. Nach unserer langjährigen Partnerschaft mit SAP ist deutlich zu erkennen, dass ein neues Gefühl der Dringlichkeit und ein verstärktes Engagement vorhanden sind, um sicherzustellen, dass Kunden so schnell wie möglich geschützt werden, sobald neue Sicherheitslücken identifiziert werden“, sagte Mariano Nunez, CEO von Onapsis. „Für SAP-Kunden unterstreichen kritische Schwachstellen wie RECON die Notwendigkeit, geschäftskritische Anwendungen zu schützen, indem bestehende Cybersicherheits- und Compliance-Programme erweitert werden, um sicherzustellen, dass diese Anwendungen nicht länger in einer Sicherheitslücke liegen. Diese Systeme sind das Herzstück des Unternehmens, unterliegen strengen Compliance-Anforderungen und stehen unter erheblichem Druck durch Cloud, DevOps- und Digital-Transformation-Initiativen, die in Bezug auf Cyberrisiken eine perfekte Sturmfront bilden. Es gibt einfach nichts Wichtigeres, das es zu sichern gilt.“

Empfehlungen zum Schutz von SAP-Systemen

Sowohl Onapsis als auch SAP empfehlen, den HotNews-Patch Nr. 2934135 so schnell wie möglich zu installieren. Aufgrund der Komplexität geschäftskritischer Anwendungen und begrenzter Wartungsfenster stehen Unternehmen oft vor der Herausforderung, SAP-Sicherheitshinweise zügig umzusetzen, und benötigen eine Möglichkeit, während dieses Prozesses weiterhin geschützt zu bleiben.

Die Platform umfasst automatisierte Bewertungen, Erkennungsregeln und Warnmeldungen zur kontinuierlichen Überwachung böswilliger Aktivitäten, die auf diese spezifische Sicherheitslücke und viele andere abzielen. Für SAP-Kunden, die die Platform noch nicht nutzen, bietet Onapsis eine kostenlose Cyber-Risikobewertung an, um festzustellen, ob diese Sicherheitslücke (und andere) in ihren SAP-Systemen vorhanden ist.

Über Onapsis

Onapsis schützt die geschäftskritischen Anwendungen, die die Weltwirtschaft am Laufen halten. Die Platform bietet Platform , umsetzbare Erkenntnisse, sichere Änderungen, automatisierte Governance und kontinuierliche Überwachung für kritische Systeme – darunter ERP-, CRM-, PLM-, HCM-, SCM- und BI-Anwendungen – von namhaften Anbietern wie SAP, Oracle und führenden cloud .

Onapsis hat seinen Hauptsitz in Boston, Massachusetts, und unterhält Niederlassungen in Heidelberg (Deutschland) und Buenos Aires (Argentinien). Wir sind stolz darauf, mehr als 300 der weltweit führenden Marken zu betreuen, darunter 20 % der Fortune-100-Unternehmen, 6 der 10 größten Automobilhersteller, 5 der 10 größten Chemieunternehmen, 4 der 10 größten Technologieunternehmen und 3 der 10 größten Öl- und Gasunternehmen.

Die Platform von den Onapsis Research Labs unterstützt, dem Team, das für die Aufdeckung und Behebung von mehr als 800 Zero-Day-Schwachstellen in geschäftskritischen Anwendungen verantwortlich ist. Die Reichweite unserer threat research platform durch führende Beratungs- und Wirtschaftsprüfungsgesellschaften wie Accenture, Deloitte, IBM, PwC und Verizon erweitert – wodurch Onapsis-Lösungen zum De-facto-Standard werden, wenn es darum geht, Unternehmen beim Schutz ihrer geschäftskritischen Informationen und Prozesse cloud, in Hybridumgebungen und vor Ort zu unterstützen.

Für weitere Informationen folgen Sie uns auf Twitter oder LinkedIn oder besuchen Sie uns unter https://onapsis.com.

Zurück zu den Pressemitteilungen

Weiterführende Literatur