Pressemitteilung

Onapsis gibt 20 Warnmeldungen heraus, die sich auf geschäftskritische SAP- und Oracle-Anwendungen auswirken

Hochkarätige Cyberrisiken könnten es unbefugten Benutzern ermöglichen, vertrauliche Geschäftsinformationen zu stehlen und die volle Kontrolle über Systeme zu übernehmen

Boston, MA – 21. September 2016 - Onapsis, der globale Experte für geschäftskritische Anwendungssicherheit, hat heute neue Sicherheitshinweise veröffentlicht, die Schwachstellen in SAP- und Oracle-Geschäftsanwendungen detailliert beschreiben. In den Hinweisen sind sieben Schwachstellen mit „kritischem Risiko“ für SAP NetWeaver aufgeführt, die es einem Angreifer ermöglichen könnten, die vollständige Kontrolle über ein SAP-System zu übernehmen. In den Hinweisen werden auch Cross-Site-Scripting-Angriffe (XSS) detailliert beschrieben, die sich auf die Oracle E-Business Suite auswirken und es einem Angreifer ermöglichen könnten, vertrauliche Geschäftsinformationen zu stehlen.

„SAP NetWeaver ist die technische Integrationsplattform, auf der Unternehmens- und Geschäftslösungen entwickelt und betrieben werden. Schwachstellen auf dieser Ebene sind äußerst kritisch, denn wenn sie ausgenutzt werden, könnte ein Angreifer nicht nur auf Befehle auf der Betriebssystemebene zugreifen, sondern auch alle im SAP-System gespeicherten Informationen ändern und die vollständige Kontrolle darüber übernehmen“, sagte Sebastian Bortnik, Forschungsleiter, Onapsis.

SAP wird von über 250,000 Kunden weltweit betrieben, darunter 87 Prozent der Global-2000-Unternehmen. Je nachdem, wie ein Unternehmen diese Plattformen nutzt, können Cyber-Angreifer „kritische Risiko“-Schwachstellen nutzen, um Zugriff auf geschäftskritische Informationen zu erhalten, darunter Kundendaten, Produktpreise, Finanzberichte, Mitarbeiterinformationen, Lieferketten, Business Intelligence, Budgetierung und Planung und Prognosen.

Zu den kritischen Risikoschwachstellen, die SAP betreffen, gehören:

  • SAP OS Command Injection in SCTC_REFRESH_EXPORT_TAB_COMP
  • SAP OS Command Injection in SCTC_REFRESH_CHECK_ENV
  • SAP OS Command Injection in SCTC_TMS_MAINTAIN_ALOG
  • SAP OS Command Injection in PREPARE_CHECK_CAPACITY
  • SAP OS Command Injection in SCTC_REFRESH_IMPORT_USR_CLNT
  • SAP OS Command Injection in SCTC_REORG_SPOOL
  • SAP OS Command Injection in SCTC_REFRESH_CONFIG_CTC

Als zentrale Geschäftsanwendung verwaltet Oracle E-Business Suite wichtige Informationen wie Finanz-, Personal- und Kundendaten, Projektportfoliomanagement, Beschaffung und Lieferkettenmanagement. JD Edwards EnterpriseOne von Oracle ist eine integrierte Anwendungssuite umfassender Enterprise-Resource-Planning-Software, die Geschäftswert, auf Standards basierende Technologie und umfassende Branchenerfahrung in einer Geschäftslösung mit niedrigen Gesamtbetriebskosten vereint.

„Cross-Site-Scripting-Schwachstellen ermöglichen es Angreifern, clientseitige Skripte in Webseiten einzuschleusen, die von anderen Benutzern angezeigt werden. Diese Schwachstellen sind wichtig, da Angreifer Zugriffskontrollen umgehen und vollständigen Zugriff auf das System erhalten könnten“, sagte Matias Mevied, Senior Security Researcher bei Onapsis.

Zu den Cross-Site-Scripting-Schwachstellen, die sich auf die Oracle E-Business Suite auswirken, gehören:

  • CVE-2016-3536: Dieses CVE enthält zwei XSS-Schwachstellen, die sich auf Oracle Marketing auswirken
  • CVE-2016-3535: Die betroffene Komponente ist Oracle CRM Technical Foundation mit der Unterkomponente Remote Launch
  • CVE-2016-3534: Diese CVE bezieht sich auf Open-Redirect-Angriffe
  • CVE-2016-3533: Dieses CVE enthält drei Schwachstellen im Zusammenhang mit der Oracle-Komponente von Knowledge Management
  • CVE-2016-3532: In diesem CVE gibt es sieben Schwachstellen, die sich auf XSS-Angriffe beziehen. Obwohl sie sich auf dieselbe Komponente beziehen, verfügen sie über unterschiedliche Parameter, die nicht bereinigt werden
  • CVE-2016-0533: Diese CVE bezieht sich auf XSS-Angriffe, die die Oracle CRM Technical Foundation mit der Unterkomponente Wireless Framework betreffen

Die Empfehlungen werden von den Onapsis Research Labs herausgegeben, einem Team von Sicherheitsexperten, die fundiertes Wissen und Erfahrung kombinieren, um technische Analysen mit Geschäftskontext zu liefern und dem Markt fundierte Sicherheitsrichtlinien bereitzustellen. Das Team hat mehr als 300 SAP- und Oracle-Schwachstellen gemeldet und bis heute über 150 Sicherheitshinweise veröffentlicht. In jeder Empfehlung wird die Geschäftskontextrelevanz einer identifizierten Schwachstelle detailliert beschrieben, einschließlich der Auswirkungen auf ein Unternehmen, einer Beschreibung der betroffenen Komponenten und Schritten zur Lösung, wie z. B. Patch-Download-Links und empfohlenen Sicherheitskorrekturen.

Die Hinweise sind öffentlich zugänglich unter: https://onapsis.com/research/advisories.

Weitere Informationen zu Cross-Site-Scripting (XSS)-Schwachstellen finden Sie unter: https://onapsis.com/blog/oracle-fixes-record-276-vulnerabilities-july-2016.

Über Onapsis Research Labs™

SAP und Oracle Security Threat Intelligence werden von Onapsis Research Labs erstellt, einem Team führender Sicherheitsexperten, die fundiertes Wissen und Erfahrung kombinieren, um technische Analysen mit Geschäftskontext zu liefern und dem Markt eine fundierte Beurteilung der Sicherheit zu liefern. Das Team arbeitet eng mit den Produktsicherheitsteams von SAP und Oracle zusammen, um die Informationen verantwortungsbewusst an Kunden weiterzugeben, und hat bisher über 150 Sicherheitshinweise veröffentlicht, von denen sich über 35 auf SAP HANA beziehen. hat über 180 Onapsis-Unternehmenskunden zu Auswirkungen beraten; und hält regelmäßig Vorträge auf führenden Sicherheits- und SAP-Konferenzen auf der ganzen Welt. Onapsis war das erste Unternehmen, das „SAP Security In-Depth“-Veröffentlichungen herausgab, die detaillierte Analysen zu Sicherheitsrisiken bieten, die sich auf SAP und SAP HANA auswirken.

Über Onapsis

Onapsis bietet die umfassendsten Lösungen zur Sicherung von SAP- und Oracle-Unternehmensanwendungen. Als führender Experte für SAP- und Oracle-Cybersicherheit ermöglichen die patentierten Lösungen von Onapsis Sicherheits- und Prüfteams Transparenz, Vertrauen und Kontrolle über komplexe Bedrohungen, Cyberrisiken und Compliance-Lücken, die sich auf ihre Unternehmensanwendungen auswirken.

Onapsis hat seinen Hauptsitz in Boston, MA und bedient über 200 Kunden, darunter viele der Global 2000. Die Lösungen von Onapsis sind auch der De-facto-Standard für führende Beratungs- und Prüfungsunternehmen wie Accenture, Deloitte, E&Y, IBM, KPMG und PwC.

Zu den Onapsis-Lösungen gehört die Onapsis Security Platform, die am weitesten verbreitete SAP-zertifizierte Cybersicherheitslösung auf dem Markt. Im Gegensatz zu generischen Sicherheitsprodukten bieten die kontextsensitiven Lösungen von Onapsis sowohl präventive Schwachstellen- und Compliance-Kontrollen als auch Echtzeiterkennungs- und Vorfallreaktionsfunktionen, um Risiken für kritische Geschäftsprozesse und Daten zu reduzieren. Durch offene Schnittstellen kann die Plattform in führende SIEM-, GRC- und Netzwerksicherheitsprodukte integriert werden und Unternehmensanwendungen nahtlos in bestehende Schwachstellen-, Risiko- und Incident-Response-Managementprogramme integrieren.

Diese Lösungen werden von den Onapsis Research Labs betrieben, die kontinuierlich führende Informationen zu Sicherheitsbedrohungen liefern, die SAP- und Oracle-Unternehmensanwendungen beeinträchtigen. Experten der Onapsis Research Labs hielten als erste einen Vortrag über SAP-Cyberangriffe und haben bis heute Hunderte von Sicherheitslücken aufgedeckt und behoben, die SAP Business Suite-, SAP HANA-, SAP Cloud- und SAP Mobile-Anwendungen sowie Oracle JD Edwards betreffen und Oracle E-Business Suite-Plattformen.

Onapsis wurde das US-Patent Nr. 9,009,837 mit dem Titel „Automated Security Assessment of Business-Critical Systems and Applications“ erteilt, das bestimmte Algorithmen und Fähigkeiten hinter der Technologie beschreibt, die die Softwareplattformen Onapsis Security Platform™ und Onapsis X1™ antreibt. Diese patentierte Technologie ist branchenweit anerkannt und hat Onapsis die Auszeichnung als SINET 2015 Innovator 16 eingebracht.

Weitere Informationen finden Sie unter www.onapsis.comoder verbinden Sie sich mit uns auf Twitter, Google+, oder LinkedIn.

Onapsis und Onapsis Research Labs sind eingetragene Marken von Onapsis, Inc. Alle anderen Firmen- oder Produktnamen können eingetragene Marken ihrer jeweiligen Eigentümer sein.