Onapsis identifiziert kritische Sicherheitslücken in SAP HANA und unterstützt SAP bei deren Behebung

Die Forschungsergebnisse und threat intelligence Onapsis Research Labs threat intelligence SAP-Kunden vor schwerwiegenden Risiken, die HANA-basierte Produkte betreffen, darunter HANA 2, S/4 HANA und HANA-basierte Cloud

BOSTON, MA – 14. März 2017 – Onapsis, der weltweit führende Experte für Cybersicherheit und Compliance bei SAP- und Oracle-Anwendungen, gab heute die Entdeckung mehrerer hochriskanten Sicherheitslücken bekannt, die SAP-HANA-Plattformen betreffen. Bei Ausnutzung dieser Sicherheitslücken könnte ein Angreifer – sei es innerhalb oder außerhalb des Unternehmens – platform control vollständige control die platform erlangen, ohne dass ein Benutzername und ein Passwort erforderlich wären.

SAP HANA, dieplatform der nächsten Generation, vereinfacht die Datenbank- und Datenverwaltung. Die neuen Funktionen platformsind auf Innovation ausgelegt und helfen Unternehmen, sich in der digitalen Wirtschaft besser zu behaupten.

„Ein solcher Zugriff würde es einem Angreifer ermöglichen, beliebige Aktionen in Bezug auf die von HANA unterstützten Geschäftsdaten und -prozesse durchzuführen, darunter das Erstellen, Entwenden, Verändern und/oder Löschen sensibler Informationen. Werden diese Schwachstellen ausgenutzt, drohen den Unternehmen schwerwiegende geschäftliche Folgen“, so Sebastian Bortnik, Head of Research bei Onapsis. Die Schwachstellen betreffen eine bestimmte SAP-HANA-Komponente namens „SAP HANA User Self Service“, die standardmäßig nicht aktiviert ist. „Wir hoffen, dass Unternehmen diese threat intelligence nutzen, threat intelligence assess Systeme assess und sicherzustellen, dass sie diese Komponente derzeit nicht verwenden und daher von diesen Risiken nicht betroffen sind. Auch wenn der Dienst nicht aktiviert ist, empfehlen wir diesen Unternehmen dennoch, die Patches zu installieren, für den Fall, dass in Zukunft Änderungen am System vorgenommen werden“, so Bortnik weiter.

Onapsis Research Labs entdeckte die Sicherheitslücken Onapsis Research Labs auf der neu veröffentlichten platform, stellte jedoch nach weiteren Analysen fest, dass auch mehrere ältere Versionen anfällig waren. Auf Grundlage dieser Untersuchung wurde festgestellt, dass die Sicherheitslücken bereits seit fast zweieinhalb Jahren in HANA vorhanden waren, als die Komponente „User Self Service“ erstmals veröffentlicht wurde. Dies erhöht die Wahrscheinlichkeit erheblich, dass diese Sicherheitslücken von Angreifern entdeckt wurden, um in die SAP-Systeme von Unternehmen einzudringen.

Als führender SAP-Partner für Cybersicherheit arbeitete Onapsis eng mit den Teams für Produktsicherheit und Entwicklung bei SAP zusammen, um diese bei der Entwicklung der Sicherheitspatches zu unterstützen. „Wie immer haben wir die Risiken umgehend an SAP SE gemeldet, damit ein Patch entwickelt und für SAP-Kunden bereitgestellt werden konnte, was im Vergleich zu früheren Meldungen von Sicherheitslücken sehr schnell erfolgte. Da der Schutz unserer Kunden für uns oberste Priorität hat, haben wir ihnen außerdem erweiterte Sicherheitsupdates für ihre Onapsis Platform sowie alternative Ansätze zur Risikominderung zur Verfügung gestellt, bis die Sicherheitspatches verfügbar sind“, erklärte Mariano Nunez, CEO und Mitbegründer von Onapsis.

Nach einem weiteren Sicherheitsbericht von Onapsis Research Labs veröffentlicht SAP nun auch den ersten Patch für SAP HANA 2. In diesem Fall sind Standardinstallationen betroffen, und ein Angreifer kann bei Ausnutzung der Schwachstelle seine Berechtigungen erweitern.

Im Rahmen seiner Richtlinie zur verantwortungsvollen Offenlegung Onapsis Research Labs technische Details zu diesen Sicherheitslücken nach 90 Tagen veröffentlichen, um SAP-Kunden ausreichend Zeit zu geben, den SAP-Sicherheitshinweis Nr. 2424173 „Sicherheitslücken in den User-Self-Service-Tools von SAP HANA“ und den Sicherheitshinweis Nr. 2429069 in ihren Organisationen anzuwenden und zu konfigurieren. 

Die Onapsis Research Labs mehr als 500 Sicherheitslücken in Geschäftsanwendungen von SAP und Oracle entdeckt, SAP dabei unterstützt, über 65 % aller gemeldeten HANA-Sicherheitslücken zu beheben, und bis heute über 150 Sicherheitshinweise veröffentlicht. Jeder Sicherheitshinweis beschreibt detailliert die geschäftliche Relevanz einer identifizierten Sicherheitslücke, einschließlich der Auswirkungen auf das Unternehmen, einer Beschreibung der betroffenen Komponenten sowie Maßnahmen zur Behebung, wie beispielsweise Links zum Herunterladen von Patches und empfohlene Sicherheitskorrekturen.

Über Onapsis

Die Cybersicherheitslösungen von Onapsis automatisieren die Überwachung und den Schutz Ihrer SAP-Anwendungen und sorgen dafür, dass diese die gesetzlichen Vorschriften einhalten und vor Bedrohungen durch interne und externe Akteure geschützt sind. Als bewährter Marktführer genießen wir das Vertrauen globaler Unternehmen, die uns den Schutz ihrer geschäftskritischen Informationen und Prozesse anvertrauen.

Onapsis mit Hauptsitz in Boston, Massachusetts, betreut über 200 Kunden, darunter viele der Global-2000-Unternehmen. Die Lösungen von Onapsis gelten zudem als De-facto-Standard für führende Beratungs- und Wirtschaftsprüfungsgesellschaften wie Accenture, Deloitte, E&Y, IBM, KPMG und PwC.

Zu den Lösungen von Onapsis gehört die Onapsis Security Platform, die marktweit am häufigsten eingesetzte SAP-zertifizierte Cybersicherheitslösung. Im Gegensatz zu generischen Sicherheitsprodukten bieten die kontextbezogenen Lösungen von Onapsis sowohl präventive Maßnahmen zur Schwachstellen- und Compliance-Kontrolle als auch Funktionen zur Echtzeit-Erkennung und Incident Response, um Risiken für kritische Geschäftsprozesse und Daten zu minimieren. Über offene Schnittstellen platform sich die platform in führende SIEM-, GRC- und Netzwerksicherheitsprodukte integrieren und bindet Unternehmensanwendungen nahtlos in bestehende Programme zum Schwachstellen-, Risiko- und Vorfallmanagement ein.

Diese Lösungen basieren auf den Erkenntnissen Onapsis Research Labs kontinuierlich führende Informationen zu Sicherheitsbedrohungen für SAP- und Oracle-Unternehmensanwendungen bereitstellen. Die Experten derOnapsis Research Labs
Onapsis Research Labs die ersten, die Vorträge über Cyberangriffe auf SAP-Systeme hielten, und haben bis heute Hunderte von Sicherheitslücken aufgedeckt und bei deren Behebung mitgewirkt, die SAP Business Suite, SAP HANA, SAP Cloud SAP Mobile-Anwendungen sowie die Plattformen Oracle JD Edwards und Oracle E-Business Suite betrafen.

Onapsis wurde das US-Patent Nr. 9.009.837 mit dem Titel „Automated Security Assessment of Business-Critical Systems and Applications“ erteilt, das bestimmte Algorithmen und Funktionen beschreibt, die der Technologie zugrunde liegen, auf der die Softwareplattformen Onapsis Security Platform™ und Onapsis X1™ basieren. Diese patentierte Technologie ist branchenweit anerkannt und hat Onapsis die Auszeichnung als „SINET 16 Innovator 2015“ eingebracht.

Weitere Informationen finden Sie unter www.onapsis.com oder folgen Sie uns auf Twitter, Google+ oder LinkedIn.

„Onapsis“ und Onapsis Research Labs eingetragene Marken von Onapsis, Inc. Alle anderen Firmen- oder Produktnamen sind möglicherweise eingetragene Marken ihrer jeweiligen Eigentümer.