Pressemitteilung

Onapsis gibt 15 Hinweise heraus, die sich auf SAP HANA und SAP Trex auswirken

Aufsehen erregende Cyber-Risiken offenbaren, dass unbefugte Benutzer auf beliebige Geschäftsinformationen zugreifen und Prüfprotokolle manipulieren könnten, um Beweise für Angriffe zu verbergen

Boston, MA - 21. Juli 2016 - Onapsis, der globale Experte für geschäftskritische Anwendungssicherheit, hat heute neue Sicherheitshinweise veröffentlicht, die Schwachstellen in SAP HANA und SAP Trex detailliert beschreiben. In den Hinweisen ist eine Schwachstelle mit „kritischem Risiko“ enthalten, die dazu genutzt werden könnte, hohe Privilegien zu erlangen, die uneingeschränkten Zugriff auf Geschäftsinformationen ermöglichen, und beliebige Datenbankinformationen zu ändern. Diese Schwachstellen stellen ein potenzielles Risiko für über 10,000 SAP-Kunden dar, die unterschiedliche Versionen von SAP HANA verwenden.

„Diese Reihe von Sicherheitshinweisen ist einzigartig, da die meisten Schwachstellen, die Angreifer ausnutzen können, unterbewertet sind. Das heißt, die Art und Weise, wie sie ausgenutzt werden können, ist nicht immer offensichtlich und kann unentdeckt bleiben. Beispielsweise erzeugt eine der kritischen Schwachstellen, die ausgenutzt werden kann, eine Fehlermeldung, die vertrauliche Informationen über ihre Umgebung, Benutzer oder zugehörige Daten enthält“, sagte Sebastian Bortnik, Forschungsleiter bei Onapsis.

SAP HANA, das Herzstück der Cloud-Angebote von SAP, ist die Datenbank- und Anwendungsplattform der nächsten Generation. SAP HANA umfasst Funktionen zur Transformation von Transaktionen, Analysen, Textanalysen sowie prädiktiver und räumlicher Verarbeitung, sodass Unternehmen in Echtzeit arbeiten können. Je nachdem, wie ein Unternehmen diese Plattformen nutzt, können Cyber-Angreifer „kritische Risiko“-Schwachstellen nutzen, um Zugriff auf geschäftskritische Informationen zu erhalten, darunter Kundendaten, Produktpreise, Finanzberichte, Mitarbeiterinformationen, Lieferketten, Business Intelligence, Budgetierung und Planung und Prognosen.

Zu den Sicherheitslücken, die SAP HANA betreffen, gehören:

Kritisches Risiko

  • Brute-Force-Angriff auf SAP-HANA-SYSTEM-Benutzer
    • Durch die Ausnutzung dieser Schwachstelle könnte ein nicht authentifizierter Remote-Angreifer hohe Privilegien auf dem HANA-System mit uneingeschränktem Zugriff auf alle Geschäftsinformationen erhalten.

High Risk

  • SAP HANA Arbitrary Audit Injection über HTTP-Anfragen
    • Durch die Ausnutzung dieser Schwachstelle könnte ein Angreifer die Prüfprotokolle manipulieren und so Beweise für einen Angriff auf ein HANA-System verbergen.
  • SAP HANA Arbitrary Audit Injection über das SQL-Protokoll
    • Durch die Ausnutzung dieser Schwachstelle könnte ein Angreifer die Prüfprotokolle manipulieren und so seine Beweise für einen Angriff auf ein HANA-System verbergen.
  • Mögliche Remote-Codeausführung von SAP HANA
    • Durch die Ausnutzung dieser Schwachstelle könnte ein nicht authentifizierter Angreifer auf alle vom SAP-System indizierten Informationen zugreifen und diese ändern.

Zu den Sicherheitslücken, die SAP TREX betreffen, gehören:

Kritisches Risiko

  • SAP TREX-Remote-Befehlsausführung
    • Durch die Ausnutzung dieser Schwachstelle könnte ein nicht authentifizierter Angreifer auf alle vom SAP-System indizierten Informationen zugreifen und diese ändern.

High Risk

  • Beliebiges Schreiben von SAP TREX-Dateien
    • Durch die Ausnutzung dieser Schwachstelle könnte ein nicht authentifizierter Angreifer alle vom SAP-System indizierten Informationen ändern.
  • SAP TREX Remote Directory Traversal
    • Durch die Ausnutzung dieser Schwachstelle könnte ein nicht authentifizierter Angreifer aus der Ferne auf beliebige Geschäftsinformationen aus dem SAP-System zugreifen.
  • Lesen von SAP TREX-Remote-Dateien
    • Durch die Ausnutzung dieser Schwachstelle könnte ein nicht authentifizierter Angreifer aus der Ferne auf beliebige Geschäftsinformationen aus dem SAP-System zugreifen.

Die Empfehlungen werden von den Onapsis Research Labs herausgegeben, einem Team von Sicherheitsexperten, die fundiertes Wissen und Erfahrung kombinieren, um technische Analysen mit Geschäftskontext zu liefern und dem Markt fundierte Sicherheitsrichtlinien bereitzustellen. Das Team hat mehr als 300 SAP- und Oracle-Schwachstellen gemeldet und bis heute über 150 Sicherheitshinweise veröffentlicht.

In jeder Empfehlung wird die Geschäftskontextrelevanz einer identifizierten Schwachstelle detailliert beschrieben, einschließlich der Auswirkungen auf ein Unternehmen, einer Beschreibung der betroffenen Komponenten und Schritten zur Lösung, wie z. B. Patch-Download-Links und empfohlenen Sicherheitskorrekturen.

Die Hinweise sind öffentlich zugänglich unter: https://onapsis.com/research/advisories.

Am 18. August um 9:00 Uhr und 2:00 Uhr EDT wird Onapsis Live-Webcasts veranstalten, in denen diese Schwachstellen besprochen werden. Für weitere Informationen oder zur Anmeldung besuchen Sie bitte: https://onapsis.com/understanding-critical-vulnerabilities-sap-hana.

Über Onapsis

Onapsis bietet die umfassendsten Lösungen zur Sicherung von SAP- und Oracle-Unternehmensanwendungen. Als führender Experte für SAP- und Oracle-Cybersicherheit ermöglichen die patentierten Lösungen von Onapsis Sicherheits- und Prüfteams Transparenz, Vertrauen und Kontrolle über komplexe Bedrohungen, Cyberrisiken und Compliance-Lücken, die sich auf ihre Unternehmensanwendungen auswirken.

Onapsis hat seinen Hauptsitz in Boston, MA und bedient über 200 Kunden, darunter viele der Global 2000. Die Lösungen von Onapsis sind auch der De-facto-Standard für führende Beratungs- und Prüfungsunternehmen wie Accenture, Deloitte, E&Y, IBM, KPMG und PwC.

Zu den Onapsis-Lösungen gehört die Onapsis Security Platform, die am weitesten verbreitete SAP-zertifizierte Cybersicherheitslösung auf dem Markt. Im Gegensatz zu generischen Sicherheitsprodukten bieten die kontextsensitiven Lösungen von Onapsis sowohl präventive Schwachstellen- und Compliance-Kontrollen als auch Echtzeiterkennungs- und Vorfallreaktionsfunktionen, um Risiken für kritische Geschäftsprozesse und Daten zu reduzieren. Durch offene Schnittstellen kann die Plattform in führende SIEM-, GRC- und Netzwerksicherheitsprodukte integriert werden und Unternehmensanwendungen nahtlos in bestehende Schwachstellen-, Risiko- und Incident-Response-Managementprogramme integrieren.

Diese Lösungen werden von den Onapsis Research Labs betrieben, die kontinuierlich führende Informationen zu Sicherheitsbedrohungen liefern, die SAP- und Oracle-Unternehmensanwendungen beeinträchtigen. Experten der Onapsis Research Labs hielten als erste einen Vortrag über SAP-Cyberangriffe und haben bis heute Hunderte von Sicherheitslücken aufgedeckt und behoben, die SAP Business Suite-, SAP HANA-, SAP Cloud- und SAP Mobile-Anwendungen sowie Oracle JD Edwards betreffen und Oracle E-Business Suite-Plattformen.

Onapsis wurde das US-Patent Nr. 9,009,837 mit dem Titel „Automated Security Assessment of Business-Critical Systems and Applications“ erteilt, das bestimmte Algorithmen und Fähigkeiten hinter der Technologie beschreibt, die die Softwareplattformen Onapsis Security Platform™ und Onapsis X1™ antreibt. Diese patentierte Technologie ist branchenweit anerkannt und hat Onapsis die Auszeichnung als SINET 2015 Innovator 16 eingebracht.

Weitere Informationen finden Sie unter www.onapsis.comoder verbinden Sie sich mit uns auf Twitter, Google+, oder LinkedIn.

Onapsis und Onapsis Research Labs sind eingetragene Marken von Onapsis, Inc. Alle anderen Firmen- oder Produktnamen können eingetragene Marken ihrer jeweiligen Eigentümer sein.