Pressemitteilung

Onapsis veröffentlicht 15 Sicherheitshinweise zu SAP HANA und SAP Trex

21. Juli 2016

Aufsehenerregende Cyberrisiken zeigen, dass unbefugte Nutzer Zugriff auf beliebige Geschäftsdaten erhalten und Audit-Protokolle manipulieren könnten, um Spuren von Angriffen zu verwischen

Boston, MA – 21. Juli 2016 – Onapsis, der weltweit führende Experte für die Sicherheit geschäftskritischer Anwendungen, hat heute neue security advisories veröffentlicht, in denen Schwachstellen in SAP HANA und SAP Trex security advisories . Zu den Hinweisen gehört eine Schwachstelle mit „kritischem Risiko“, die dazu genutzt werden könnte, erweiterte Berechtigungen zu erlangen, die uneingeschränkten Zugriff auf Geschäftsdaten ermöglichen und die Änderung beliebiger Datenbankdaten gestatten. Diese Sicherheitslücken stellen ein potenzielles Risiko für über 10.000 SAP-Kunden dar, die verschiedene Versionen von SAP HANA einsetzen.

„Diese Reihe von Sicherheitshinweisen ist insofern einzigartig, als die meisten Schwachstellen, die Angreifer ausnutzen können, unterschätzt werden. Das bedeutet, dass die Art und Weise, wie sie ausgenutzt werden können, nicht immer offensichtlich ist und daher unentdeckt bleiben kann. Eine der kritischen Schwachstellen, die ausgenutzt werden kann, löst beispielsweise eine Fehlermeldung aus, die sensible Informationen über die Umgebung, die Benutzer oder zugehörige Daten enthält“, sagte Sebastian Bortnik, Leiter der Forschungsabteilung bei Onapsis.

SAP HANA, das Herzstück der cloud von SAP, ist die Datenbank- und platform der nächsten Generation. SAP HANA umfasst Funktionen für Transaktionsverarbeitung, Analytik, Textanalyse sowie prädiktive und räumliche Verarbeitung, damit Unternehmen in Echtzeit agieren können. Je nach Nutzung dieser Plattformen durch ein Unternehmen könnten Schwachstellen mit „kritischem Risiko“ von Cyberangreifern ausgenutzt werden, um Zugriff auf geschäftskritische Informationen zu erlangen, darunter Kundendaten, Produktpreise, Finanzberichte, Mitarbeiterdaten, Lieferketten, Business Intelligence, Budgetierung, Planung und Prognosen.

Zu den Sicherheitslücken, die SAP HANA betreffen, gehören:

Kritisches Risiko

  • Brute-Force-Angriff auf SAP-HANA-Benutzer
    • Durch Ausnutzung dieser Sicherheitslücke könnte ein nicht authentifizierter Angreifer aus der Ferne hohe Berechtigungen auf dem HANA-System erlangen und uneingeschränkten Zugriff auf alle Geschäftsdaten erhalten.

Hohes Risiko

  • SAP HANA: Einfügen beliebiger Audit-Daten über HTTP-Anfragen
    • Durch Ausnutzung dieser Sicherheitslücke könnte ein Angreifer die Protokolle manipulieren und so die Spuren eines Angriffs auf ein HANA-System verwischen.
  • SAP HANA: Einfügen beliebiger Audit-Befehle über das SQL-Protokoll
    • Durch Ausnutzung dieser Sicherheitslücke könnte ein Angreifer die Audit-Protokolle manipulieren und so die Spuren seines Angriffs auf ein HANA-System verwischen.
  • SAP HANA – Möglichkeit der Remote-Codeausführung
    • Durch Ausnutzung dieser Sicherheitslücke könnte ein nicht authentifizierter Angreifer auf alle vom SAP-System indizierten Informationen zugreifen und diese verändern.

Zu den Sicherheitslücken, die SAP TREX betreffen, gehören:

Kritisches Risiko

  • Ausführung von Remote-Befehlen in SAP TREX
    • Durch Ausnutzung dieser Sicherheitslücke könnte ein nicht authentifizierter Angreifer auf alle vom SAP-System indizierten Informationen zugreifen und diese verändern.

Hohes Risiko

  • SAP TREX – Schreiben beliebiger Dateien
    • Durch Ausnutzung dieser Sicherheitslücke könnte ein nicht authentifizierter Angreifer beliebige vom SAP-System indizierte Informationen verändern.
  • SAP TREX – Remote-Verzeichnisüberquerung
    • Durch Ausnutzung dieser Sicherheitslücke könnte ein nicht authentifizierter Angreifer von einem entfernten Standort aus auf beliebige Geschäftsdaten im SAP-System zugreifen.
  • SAP TREX – Remote-Dateilesezugriff
    • Durch Ausnutzung dieser Sicherheitslücke könnte ein nicht authentifizierter Angreifer von einem entfernten Standort aus auf beliebige Geschäftsdaten im SAP-System zugreifen.

Die Sicherheitshinweise werden von den Onapsis Research Labs veröffentlicht, einem Team aus Sicherheitsexperten, die fundiertes Fachwissen und langjährige Erfahrung bündeln, um technische Analysen im geschäftlichen Kontext zu liefern und dem Markt fundierte Sicherheitsempfehlungen zu geben. Das Team hat bisher mehr als 300 Sicherheitslücken bei SAP und Oracle gemeldet und über 150 Sicherheitshinweise veröffentlicht.

Jede Sicherheitsmitteilung erläutert die geschäftliche Relevanz einer identifizierten Schwachstelle, einschließlich der Auswirkungen auf das Unternehmen, einer Beschreibung der betroffenen Komponenten sowie Maßnahmen zur Behebung, wie beispielsweise Links zum Herunterladen von Patches und empfohlene Sicherheitskorrekturen.

Die Sicherheitshinweise sind öffentlich zugänglich unter: https://onapsis.com/research/advisories.

Am 18. August um 9:00 Uhr und 14:00 Uhr (EDT) veranstaltet Onapsis Live-Webcasts, in denen diese Sicherheitslücken erörtert werden. Weitere Informationen sowie die Möglichkeit zur Anmeldung finden Sie unter: https://onapsis.com/understanding-critical-vulnerabilities-sap-hana.

Über Onapsis

Onapsis bietet die umfassendsten Lösungen für die Absicherung von SAP- und Oracle-Unternehmensanwendungen. Als führender Experte für Cybersicherheit bei SAP und Oracle ermöglichen die patentierten Lösungen von Onapsis Sicherheits- und Audit-Teams Transparenz, Vertrauen und control komplexe Bedrohungen, Cyberrisiken und Compliance-Lücken, die ihre Unternehmensanwendungen betreffen.

Onapsis mit Hauptsitz in Boston, Massachusetts, betreut über 200 Kunden, darunter viele der Global-2000-Unternehmen. Die Lösungen von Onapsis gelten zudem als De-facto-Standard für führende Beratungs- und Wirtschaftsprüfungsgesellschaften wie Accenture, Deloitte, E&Y, IBM, KPMG und PwC.

Zu den Lösungen von Onapsis gehört die Onapsis Security Platform, die marktweit am häufigsten eingesetzte SAP-zertifizierte Cybersicherheitslösung. Im Gegensatz zu generischen Sicherheitsprodukten bieten die kontextbezogenen Lösungen von Onapsis sowohl präventive Maßnahmen zur Schwachstellen- und Compliance-Kontrolle als auch Funktionen zur Echtzeit-Erkennung und Incident Response, um Risiken für kritische Geschäftsprozesse und Daten zu minimieren. Über offene Schnittstellen platform sich die platform in führende SIEM-, GRC- und Netzwerksicherheitsprodukte integrieren und bindet Unternehmensanwendungen nahtlos in bestehende Programme zum Schwachstellen-, Risiko- und Vorfallmanagement ein.

Diese Lösungen basieren auf den Erkenntnissen Onapsis Research Labs kontinuierlich führende Informationen zu Sicherheitsbedrohungen für SAP- und Oracle-Unternehmensanwendungen bereitstellen. Die Experten der Onapsis Research Labs die ersten, die Vorträge über Cyberangriffe auf SAP-Systeme hielten, und haben bis heute Hunderte von Sicherheitslücken aufgedeckt und bei deren Behebung mitgewirkt, die SAP Business Suite, SAP HANA, SAP Cloud SAP Mobile-Anwendungen sowie die Plattformen Oracle JD Edwards und Oracle E-Business Suite betrafen.

Onapsis wurde das US-Patent Nr. 9.009.837 mit dem Titel „Automated Security Assessment of Business-Critical Systems and Applications“ erteilt, das bestimmte Algorithmen und Funktionen beschreibt, die der Technologie zugrunde liegen, auf der die Softwareplattformen Onapsis Security Platform™ und Onapsis X1™ basieren. Diese patentierte Technologie ist branchenweit anerkannt und hat Onapsis die Auszeichnung als „SINET 16 Innovator 2015“ eingebracht.

Weitere Informationen finden Sie unter www.onapsis.com oder folgen Sie uns auf Twitter, Google+ oder LinkedIn.

„Onapsis“ und Onapsis Research Labs eingetragene Marken von Onapsis, Inc. Alle anderen Firmen- oder Produktnamen sind möglicherweise eingetragene Marken ihrer jeweiligen Eigentümer.

Zurück zu den Pressemitteilungen

Weiterführende Literatur