Pressemitteilung

Onapsis veröffentlicht 20 Sicherheitshinweise zu geschäftskritischen Anwendungen von SAP und Oracle

21. September 2016

Durch schwerwiegende Cyberrisiken könnten unbefugte Nutzer sensible Geschäftsdaten stehlen und control vollständige control Systeme erlangen

Boston, MA – 21. September 2016 – Onapsis, der weltweit führende Experte für die Sicherheit geschäftskritischer Anwendungen, hat heute neue security advisories veröffentlicht, in denen Schwachstellen in Geschäftsanwendungen von SAP und Oracle security advisories . Die Hinweise umfassen sieben Schwachstellen mit „kritischem Risiko“ für SAP NetWeaver, die es einem Angreifer ermöglichen könnten, control vollständige control ein SAP-System zu erlangen. Die Hinweise beschreiben außerdem Cross-Site-Scripting-Angriffe (XSS), die die Oracle E-Business Suite betreffen und es einem Angreifer ermöglichen könnten, sensible Geschäftsdaten zu stehlen.

„SAP NetWeaver ist die technische platform deren Grundlage Unternehmens- und Branchenlösungen entwickelt und betrieben werden. Sicherheitslücken auf dieser Ebene sind von äußerster Schwere, da ein Angreifer bei Ausnutzung dieser Schwachstellen nicht nur Zugriff auf Befehle auf Betriebssystemebene erlangen, sondern auch alle im SAP-System gespeicherten Informationen verändern und control vollständige control übernehmen könnte“, so Sebastian Bortnik, Leiter der Forschungsabteilung bei Onapsis.

SAP wird weltweit von über 250.000 Kunden genutzt, darunter 87 Prozent der Global-2000-Unternehmen. Je nachdem, wie diese Plattformen in einem Unternehmen eingesetzt werden, könnten Schwachstellen mit „kritischem Risiko“ von Cyberangreifern ausgenutzt werden, um Zugriff auf geschäftskritische Informationen zu erlangen, darunter Kundendaten, Produktpreise, Jahresabschlüsse, Mitarbeiterdaten, Lieferketten, Business Intelligence, Budgetierung, Planung und Prognosen.

Zu den Sicherheitslücken mit kritischem Risiko, die SAP betreffen, gehören:

SAP-OS-Befehlsinjektion in SCTC_REFRESH_EXPORT_TAB_COMP
SAP-OS-Befehlsinjektion in SCTC_REFRESH_CHECK_ENV
SAP-OS-Befehlsinjektion in SCTC_TMS_MAINTAIN_ALOG
SAP-OS-Befehlsinjektion in PREPARE_CHECK_CAPACITY
SAP-OS-Befehlsinjektion in SCTC_REFRESH_IMPORT_USR_CLNT
SAP-OS-Befehlsinjektion in SCTC_REORG_SPOOL
SAP-OS-Befehlsinjektion in SCTC_REFRESH_CONFIG_CTC

Als zentrale Unternehmensanwendung verwaltet die Oracle E-Business Suite wichtige Informationen wie Finanz-, Personal- und Kundendaten sowie Daten aus den Bereichen Projektportfoliomanagement, Beschaffung und Lieferkettenmanagement. Oracle JD Edwards EnterpriseOne ist eine integrierte Anwendungssuite für umfassendes Enterprise-Resource-Planning, die geschäftlichen Nutzen, standardbasierte Technologie und fundierte Branchenerfahrung zu einer Unternehmenslösung mit niedrigen Gesamtbetriebskosten vereint.

„Durch Cross-Site-Scripting-Schwachstellen können Angreifer clientseitige Skripte in Webseiten einschleusen, die von anderen Nutzern aufgerufen werden. Diese Schwachstellen sind von großer Bedeutung, da Angreifer dadurch Zugriffskontrollen umgehen und sich vollständigen Zugriff auf das System verschaffen könnten“, so Matias Mevied, Senior Security Researcher bei Onapsis.

Zu den Cross-Site-Scripting-Schwachstellen, die die Oracle E-Business Suite betreffen, gehören:

CVE-2016-3536: Diese CVE umfasst zwei XSS-Sicherheitslücken, die Oracle Marketing betreffen
CVE-2016-3535: Die betroffene Komponente ist „Oracle CRM Technical Foundation“ mit der Unterkomponente „Remote Launch“
CVE-2016-3534: Diese CVE betrifft Open-Redirect-Angriffe
CVE-2016-3533: Diese CVE umfasst drei Sicherheitslücken im Zusammenhang mit der Oracle-Komponente von Knowledge Management
CVE-2016-3532: Diese CVE umfasst sieben Sicherheitslücken, die mit XSS-Angriffen in Zusammenhang stehen; obwohl sie dieselbe Komponente betreffen, weisen sie unterschiedliche Parameter auf, die nicht bereinigt werden
CVE-2016-0533: Diese CVE betrifft XSS-Angriffe, die die Oracle CRM Technical Foundation mit der Unterkomponente „Wireless Framework“ betreffen

Die Sicherheitshinweise werden von den Onapsis Research Labs veröffentlicht, einem Team aus Sicherheitsexperten, die fundiertes Fachwissen und langjährige Erfahrung bündeln, um technische Analysen im geschäftlichen Kontext zu liefern und dem Markt fundierte Sicherheitsempfehlungen zu geben. Das Team hat bisher mehr als 300 Sicherheitslücken bei SAP und Oracle gemeldet und über 150 Sicherheitshinweise veröffentlicht. Jede Sicherheitsempfehlung beschreibt detailliert die geschäftliche Relevanz einer identifizierten Schwachstelle, einschließlich der Auswirkungen auf ein Unternehmen, einer Beschreibung der betroffenen Komponenten sowie Maßnahmen zur Behebung, wie z. B. Links zum Herunterladen von Patches und empfohlene Sicherheitskorrekturen.

Die Sicherheitshinweise sind öffentlich zugänglich unter: https://onapsis.com/research/advisories.

Weitere Informationen zu Cross-Site-Scripting-Schwachstellen (XSS) finden Sie unter: https://onapsis.com/blog/oracle-fixes-record-276-vulnerabilities-july-2016.

Über Onapsis Research Labs™

Threat Intelligence „SAP and Oracle Security Threat Intelligence von Onapsis Research Labs erstellt, einem Team führender Sicherheitsexperten, die fundiertes Fachwissen und langjährige Erfahrung bündeln, um technische Analysen im geschäftlichen Kontext zu liefern und dem Markt fundierte Sicherheitsbewertungen zur Verfügung zu stellen. Das Team arbeitet eng mit den Produktsicherheitsteams von SAP und Oracle zusammen, um die Informationen verantwortungsbewusst an Kunden weiterzugeben. Bis heute hat es über 150 Sicherheitshinweise veröffentlicht, von denen mehr als 35 SAP HANA betreffen; es hat über 180 Onapsis-Unternehmenskunden hinsichtlich der Auswirkungen beraten und hält regelmäßig Vorträge auf führenden Sicherheits- und SAP-Konferenzen weltweit. Onapsis war das erste Unternehmen, das die Publikationsreihe „SAP Security In-Depth“ herausbrachte, die detaillierte Analysen zu Sicherheitsrisiken für SAP und SAP HANA bietet.

Über Onapsis

Onapsis bietet die umfassendsten Lösungen für die Absicherung von SAP- und Oracle-Unternehmensanwendungen. Als führender Experte für Cybersicherheit bei SAP und Oracle ermöglichen die patentierten Lösungen von Onapsis Sicherheits- und Audit-Teams Transparenz, Vertrauen und control komplexe Bedrohungen, Cyberrisiken und Compliance-Lücken, die ihre Unternehmensanwendungen betreffen.

Onapsis mit Hauptsitz in Boston, Massachusetts, betreut über 200 Kunden, darunter viele der Global-2000-Unternehmen. Die Lösungen von Onapsis gelten zudem als De-facto-Standard für führende Beratungs- und Wirtschaftsprüfungsgesellschaften wie Accenture, Deloitte, E&Y, IBM, KPMG und PwC.

Zu den Lösungen von Onapsis gehört die Onapsis Security Platform, die marktweit am häufigsten eingesetzte SAP-zertifizierte Cybersicherheitslösung. Im Gegensatz zu generischen Sicherheitsprodukten bieten die kontextbezogenen Lösungen von Onapsis sowohl präventive Maßnahmen zur Schwachstellen- und Compliance-Kontrolle als auch Funktionen zur Echtzeit-Erkennung und Incident Response, um Risiken für kritische Geschäftsprozesse und Daten zu minimieren. Über offene Schnittstellen platform sich die platform in führende SIEM-, GRC- und Netzwerksicherheitsprodukte integrieren und bindet Unternehmensanwendungen nahtlos in bestehende Programme zum Schwachstellen-, Risiko- und Vorfallmanagement ein.

Diese Lösungen basieren auf den Erkenntnissen Onapsis Research Labs kontinuierlich führende Informationen zu Sicherheitsbedrohungen für SAP- und Oracle-Unternehmensanwendungen bereitstellen. Die Experten der Onapsis Research Labs die ersten, die Vorträge über Cyberangriffe auf SAP-Systeme hielten, und haben bis heute Hunderte von Sicherheitslücken aufgedeckt und bei deren Behebung mitgewirkt, die SAP Business Suite, SAP HANA, SAP Cloud SAP Mobile-Anwendungen sowie die Plattformen Oracle JD Edwards und Oracle E-Business Suite betrafen.

Onapsis wurde das US-Patent Nr. 9.009.837 mit dem Titel „Automated Security Assessment of Business-Critical Systems and Applications“ erteilt, das bestimmte Algorithmen und Funktionen beschreibt, die der Technologie zugrunde liegen, auf der die Softwareplattformen Onapsis Security Platform™ und Onapsis X1™ basieren. Diese patentierte Technologie ist branchenweit anerkannt und hat Onapsis die Auszeichnung als „SINET 16 Innovator 2015“ eingebracht.

Weitere Informationen finden Sie unter www.onapsis.com oder folgen Sie uns auf Twitter, Google+ oder LinkedIn.

„Onapsis“ und Onapsis Research Labs eingetragene Marken von Onapsis, Inc. Alle anderen Firmen- oder Produktnamen sind möglicherweise eingetragene Marken ihrer jeweiligen Eigentümer.

Zurück zu den Pressemitteilungen

SAP-Sicherheits- und Compliance-Bewertung

Sichern Sie Ihre Zukunft: Vorbereitung auf eine erfolgreiche SAP-RISE-Transformation

Cyberangriff auf SAP gefährdet globalen Hersteller

Hacking und Verteidigung von SAP-Anwendungen – Live

10 Gründe, warum sich immer mehr Unternehmen für Onapsis entscheiden

Onapsis veröffentlicht 20 Sicherheitshinweise zu geschäftskritischen Anwendungen von SAP und Oracle

Weiterführende Literatur

Onapsis stellt branchenweit einzigartige Funktionen vor, die agentenbasierte KI-Workflows für die SAP-Cybersicherheit ermöglichen

Der CEO von Onapsis tritt gemeinsam mit führenden Branchenvertretern auf der Hauptbühne der SAPinsider Las Vegas 2026 auf

Onapsis stärkt seine Führungsposition im Bereich Markteinführung, um das weltweite Wachstum und die partnergestützte Expansion voranzutreiben

SAP-Sicherheits- und Compliance-Bewertung

Sichern Sie Ihre Zukunft: Vorbereitung auf eine erfolgreiche SAP-RISE-Transformation

Cyberangriff auf SAP gefährdet globalen Hersteller

Hacking und Verteidigung von SAP-Anwendungen – Live

10 Gründe, warum sich immer mehr Unternehmen für Onapsis entscheiden