Im Mai 2020 haben die Onapsis Research Labs eine gefährliche Schwachstelle in einer Komponente entdeckt, die in vielen SAP-Anwendungen enthalten ist. Die RECON-Schwachstelle (RECON - Remotely Exploitable Code On NetWeaver) befindet sich in einer Standard-Core-Anwendung und wurde mit dem CVSS Score 10 bewertet. Da diese Schwachstelle von externen nicht authentifizierten Angreifern genutzt werden kann, können Systeme, die mit nicht vertrauenswürdigen Netzwerken wie dem Internet verbunden sind, Ziel von opportunistischen Angreifern werden. 

Auf Basis der betroffenen Versionen hat Onapsis geschätzt, dass mehr als 40.000 SAP-Systeme von dieser Schwachstelle betroffen sein können. Onapsis nimmt an, dass es mindestens 2.500 gefährdete SAP-Systeme gibt, die direkt mit dem Internet verbunden sind, davon 45% in Nordamerika, 12% in Europa und 30% im asiatisch-pazifischen Raum.         

Onapsis hat eine koordinierte Veröffentlichungspolitik. Daher hat Onapsis diese Schwachstelle an SAP gemeldet und eng mit dem SAP Security Response Team zusammengearbeitet, um sie zu beheben. Zu diesem Problem hat SAP den SAP-Sicherheitshinweis der Priorität HotNews mit der Nummer 2934135 veröffentlicht.

Schwachstellen wie RECON kommen nicht oft vor, diese Arten von Sicherheitsproblemen machen ihre Seltenheit jedoch durch ihre Auswirkungen auf das Geschäft und die Compliance wett. Wie in diesem Bedrohungsbericht erläutert, hat ein Angreifer, der diese Schwachstelle ausnutzt, uneingeschränkten Zugriff auf kritische Geschäftsinformationen und -prozesse in einer Vielzahl von unterschiedlichen Szenarien. Beruhend darauf, wie weit diese Schwachstelle in SAP-Produkten verbreitet ist, sind die meisten SAP-Kunden wahrscheinlich davon betroffen. Onapsis hat eng mit dem SAP Security Response Team zusammengearbeitet, um diese Schwachstelle zu melden und zu beheben. Das Patch wird im Juli 2020 über die SAP-Sicherheitshinweise veröffentlicht.

Für SAP-Kunden ist es wichtig, dieses Patch einzuspielen und den bereitgestellten Empfehlungen zu folgen, um geschützt zu bleiben. Die kontinuierliche Überwachung von SAP-Systemen und die automatische Bewertung von Sicherheitskonfigurationen ist dringend notwendig, um sicherzustellen, dass geschäftskritische Informationen und Prozesse sicher sind.

Die Onapsis Research Labs und das SAP Security Response Team haben zusammengearbeitet, um in Rekordzeit für die RECON-Schwachstelle ein Patch zu entwickeln. Im Sicherheitshinweis-Release von Juli 2020 wurde die RECON-Schwachstelle über den SAP-Sicherheitshinweis der Priorität HotNews mit der Nummer 2934135 behandelt und mit dem CVSS Score 10 von 10 möglichen Punkten (schwerstwiegend) bewertet. Sie kann potenziell genutzt werden, um die Vertraulichkeit, Integrität und Verfügbarkeit von geschäftskritischen SAP-Anwendungen zu beeinträchtigen.

Diese Schwachstelle befindet sich in den SAP-NetWeaver-Java-Versionen 7.30 bis 7.50. Alle bis heute von den Onapsis Research Labs getesteten Support Packages enthielten die Schwachstelle. SAP NetWeaver ist das Basislayer für mehrere SAP-Produkte und -Lösungen. Dies bedeutet, dass eine große Auswahl der Produkte von mehr als 40.000 SAP-Kunden betroffen ist.

Betroffene SAP-Lösungen sind unter anderem:

• SAP S/4HANA Java
• SAP Enterprise Resource Planning (ERP)
• SAP Supply Chain Management (SCM)
• SAP CRM (Java Stack)
• SAP Enterprise Portal
• SAP HR Portal
• SAP Solution Manager (SolMan) 7.2 
• SAP Landscape Management (SAP LaMa)
• SAP Process Integration/Orchestration (SAP PI/PO)
• SAP Supplier Relationship Management (SRM)
• SAP NetWeaver Mobile Infrastructure (MI)
• SAP NetWeaver Development Infrastructure (NWDI)
• SAP NetWeaver Composition Environment (CE)

Da SAP SolMan betroffen ist und fast in jeder SAP-Umgebung eingesetzt wird, ist es eine berechtigte Annahme, dass fast bei jedem SAP-Kunden mindestens ein System von dieser Schwachstelle betroffen ist.

Auf jeden Fall. Böswillige Akteure benötigen keine Systeme, die im Internet oder in der Cloud sind, um sie anzugreifen, sie können sich oft zum Netzwerk „hinter der Firewall“ über Spear-Phishing und andere Angriffe Zugriff verschaffen. 

Einmal im Netzwerk, ist es sehr üblich, dass SAP-Anwendungen, wie die von RECON betroffenen, zugänglich sind, um geschäftliche Anforderungen zu bedienen.In diesem Fall würde ein Angreifer nicht einmal eine gültige Benutzer-ID in der Ziel-SAP-Anwendung benötigen, es ist sehr wahrscheinlich, dass er sich erfolgreich Zugriff verschaffen könnte, wenn kein Patch eingespielt wurde. 

Außerdem haben viele Großunternehmen bereits festgestellt, dass ihr „internes Netzwerk“ nicht wie früher kontrolliert wird. Durch VPN-Verbindungen, BYOD, externe Auftragnehmer und viele andere Variablen wird heute eine Umgebung geschaffen, in der es nicht mehr möglich ist, jedem verbundenen Gerät zu vertrauen.

Wenn sich ein nicht authentifizierten Angreifer am HTTP(S)-Service anmelden und die RECON-Schwachstelle erfolgreich ausnutzen kann, könnten die Auswirkungen in einigen Situationen kritisch sein. Aus technischer Sicht könnte ein Angreifer im anfälligen SAP-System einen neuen Benutzer mit maximalen Berechtigungen (Administratorrolle) anlegen und dabei alle Zugriffs- und Berechtigungskontrollen umgehen (z.B. Funktionstrennung, Identity-Management und GRC-Lösungen). Dies bedeutet, der Angreifer könnte die vollständige Kontrolle über das betroffene SAP-System und die zugrundeliegenden Geschäftsdaten und -prozesse erlangen.

Mit administrativem Zugriff zum System könnte der Angreifer jeden Datensatz, jede Datei und jeden Report im System verwalten (lesen, ändern, löschen). Aufgrund der Art des uneingeschränkten Zugriffs, den ein Angreifer erhalten würde, wenn er den Zugang über ungepatchte Systeme nutzt, kann diese Schwachstelle außerdem in einem Unternehmen zum Ausfall der IT-Kontrollen für die gesetzlichen Auflagen führen und potenziell die Datenschutzvorschriften (DSGVO) betreffen. Die Nutzung dieser Schwachstelle ermöglicht es einem Angreifer, verschiedene böswillige Aktivitäten auszuführen, darunter

• das Stehlen von personenbezogenen Daten von Mitarbeitern, Kunden und Lieferanten
• das Lesen, Ändern und Löschen das von Finanzdatensätzen 
• das Ändern von Bankdaten (Kontonummer, IBAN-Nummer usw.)
• das Verwalten von Einkaufsprozessen
• das Unterbrechen des Systembetriebs durch die Beschädigung von Daten oder die komplette Stilllegung
• das Durchführen von uneingeschränkten Aktionen über die Ausführung von Betriebssystembefehlen
• das Löschen oder Ändern von Traces, Protokollen und anderen Dateien

Da SAP NetWeaver Java das fundamentale Basislayer für mehrere SAP-Produkte ist, sind die jeweiligen Auswirkungen abhängig vom betroffenen System unterschiedlich. Insbesondere gibt es verschiedene SAP-Lösungen, die auf SAP NetWeaver Java laufen und eine gemeinsame Besonderheit haben: sie sind über APIs und Schnittstellen hyper-verbunden. Das heißt, diese Anwendungen sind mit anderen Systemen sowohl intern als auch extern verbunden und nutzen gewöhnlich Vertrauensbeziehungen mit weitreichenden Berechtigungen.

Die Geschäftsführung sollte über dieses Risiko informiert sein, beginnend beim CISO und CIO bis zu CFO und CEO. Da solche Schwachstellen in geschäftskritischen Systemen potenzielle Auswirkungen auf die Compliance haben können, sollte außerdem Ihr internes Audit-Team und der Leiter der Compliance- und Audit-Prozesse dieses Risiko bewerten.

Leider kann diese Schwachstelle von keiner SAP-Lösung für GRC oder Segregation of Duties (SoD) gefunden werden. Da diese Angriffe nicht authentifiziert wären und keine Benutzerdaten oder Kennwörter benötigen würden, können Angreifer einfach alle vorhandenen Kontrollen umgehen. 

Beim erfolgreichen Ausnutzen der Schwachstelle kann ein nicht authentifizierter Angreifer (kein Benutzername oder Kennwort erforderlich) einen neuen SAP-Benutzer mit maximalen Berechtigungen anlegen und dabei alle Zugriffs- und Berechtigungskontrollen umgehen (z.B. SoD, Identity-Management und GRC-Lösungen). So erhält er die vollständige Kontrolle über das SAP-System. Die RECON-Schwachstelle ist besonders gefährlich, da viele der betroffenen Lösungen oft eine Verbindung zum Internet herstellen, um Unternehmen mit Geschäftspartnern, Mitarbeitern und Kunden zu verbinden. Dies erhöht die Wahrscheinlichkeit von externen Angriffen drastisch.

Beim erfolgreichen Ausnutzen der Schwachstelle kann ein nicht authentifizierter Angreifer (kein Benutzername oder Kennwort erforderlich) einen neuen SAP-Benutzer mit maximalen Berechtigungen anlegen und dabei alle Zugriffs- und Berechtigungskontrollen umgehen (z.B. SoD, Identity-Management und GRC-Lösungen). So erhält er die vollständige Kontrolle über das SAP-System. Die RECON-Schwachstelle ist besonders gefährlich, da viele der betroffenen Lösungen oft eine Verbindung zum Internet herstellen, um Unternehmen mit Geschäftspartnern, Mitarbeitern und Kunden zu verbinden. Dies erhöht die Wahrscheinlichkeit von externen Angriffen drastisch.

Onapsis hat bisher keine Anzeichen dafür, dass die RECON-Schwachstelle irgendwo ausgenutzt wurde. Basierend auf unserer praktischen Erfahrung mit Kunden, Partnern und Interessenten, können wir jedoch bestätigen, dass jedes ungepatchte SAP-System durch Angriffe gefährdet sein kann. Da die meisten Unternehmen die Ausnutzung dieser Schwachstellen nicht erkennen können, kann eine Systemgefährdung sogar unerkannt bleiben.

Als führender Cybersicherheitsexperte für geschäftskritische Anwendungen hat Onapsis mit den Onapsis Research Labs mehr als 800 Zero-Day-Sicherheitsschwachstellen in geschäftskritischen Anwendungen wie Oracle und SAP gemeldet und die Unternehmen bei der Behebung dieser Schwachstellen unterstützt.

Wenn die Onapsis Research Labs eine potenzielle Schwachstelle erkennen, informieren sie sofort das SAP Security Response Team, damit es mit der Bewertung beginnen und ein Patch für die gemeldete Fehlkonfiguration und/oder Schwachstelle entwickeln kann. Die Onapsis Research Labs stellen SAP alle notwendigen Informationen bereit, damit dort alle Informationen für die Entwicklung eines Patches vorliegen. Onapsis gibt keine Informationen über Schwachstellen an die Öffentlichkeit weiter, bis ein offizielles Patch durch den Lieferanten veröffentlicht wurde. 

Ja, die Onapsis-Plattform stellt Unternehmen Funktionen zur Identifizierung der RECON-Schwachstelle in ihren SAP-Systemen bereit, damit sie das Risiko umgehend mindern können.

Um SAP-Kunden vor Bedrohungen durch die RECON-Schwachstelle zu schützen, bietet die Onapsis-Plattform automatisierte Bewertungen, Erkennungsregeln und Warnmeldungen, damit bösartige Aktivitäten, die auf diese spezielle Schwachstelle und auf andere Schwachstellen abzielen, kontinuierlich überwacht werden. 

Assess-Funktionen
Mit dem Assess-Modul der Onapsis-Plattform können Onapsis-Kunden automatisch eine vollständige Bewertung ihrer SAP-Landschaft ausführen und analysieren, ob die RECON-Schwachstelle in ihrem SAP-System existiert, um die Behebung zu optimieren und das Risiko zu mindern.

Defend-Erkennungsfunktionen
Onapsis-Kunden, die das Defend-Modul der Onapsis-Plattform (Version 2.200.61) nutzen, haben eine Erkennungsfunktion an der Hand, die ihr System kontinuierlich auf bösartige Aktivitäten untersucht. Um Angriffe unter Ausnutzung der RECON-Schwachstelle zu verhindern, werden Sie mit Warnmeldungen alarmiert. 

Führen Sie noch heute ein Cyber Risk Assessment aus
Für SAP-Kunden, die die Onapsis-Plattform nicht nutzen, bietet Onapsis ein kostenloses Cyber Risk Assessment an, um zu ermitteln, ob diese Schwachstelle (und andere) in ihrem SAP-System vorhanden ist. 

Fordern Sie unter www.onapsis.com/de/request-an-assessment/cyber-risk ein Cyber Risk Assessment an.