Aktuelle Cyberangriffe auf geschäftskritische SAP-Anwendungen

SAP und Onapsis veröffentlichen gemeinsam neue threat intelligence aktuellen Bedrohungen

Defend geschäftskritischen SAP-Anwendungen vor aktuellen Bedrohungen

Am 6. April veröffentlichten Onapsis und SAP einen neuen threat intelligence um SAP-Kunden dabei zu unterstützen, sich vor aktiven Cyberbedrohungen zu schützen, die gezielt darauf abzielen, Unternehmen mit ungeschützten SAP-Anwendungen über verschiedene Angriffsvektoren zu identifizieren und zu kompromittieren. SAP und Onapsis raten Unternehmen nachdrücklich, unverzüglich Maßnahmen zu ergreifen, darunter die rasche Installation der entsprechenden SAP-Sicherheitspatches und eine gründliche Überprüfung der Sicherheitskonfigurationen ihrer SAP-Landschaften sowie die Durchführung einer Kompromittierungsanalyse und forensischer Untersuchungen der gefährdeten Umgebungen.

Die CISA des US-Heimatschutzministeriums und das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben ebenfalls Warnungen und Mitteilungen zu diesem Thema erstellt und veröffentlicht.

SAP hat alle kritischen Sicherheitslücken, deren Ausnutzung beobachtet wurde, umgehend behoben und den Kunden die entsprechenden Patches bereits seit Monaten, in einigen Fällen sogar seit Jahren, zur Verfügung gestellt. Leider stellen SAP und Onapsis weiterhin fest, dass viele Unternehmen die entsprechenden Schutzmaßnahmen noch immer nicht umgesetzt haben, sodass ungeschützte SAP-Systeme weiterhin in Betrieb sind und in vielen Fällen für Angreifer über das Internet sichtbar bleiben.

Wir empfehlen Ihnen dringend, den Bedrohungsbericht herunterzuladen, um assess Sie gefährdet sind, und um zu erfahren, welche Maßnahmen Sie unverzüglich ergreifen sollten, um Ihr Unternehmen zu schützen. Dieser Bericht beschreibt zudem detailliert die spezifischen Techniken, Werkzeuge und Vorgehensweisen (TTPs), die von unseren Experten beobachtet wurden, und versetzt Verteidiger in die Lage, so schnell wie möglich auf diese Aktivitäten zu reagieren.

Zu den wichtigsten Erkenntnissen dieses threat intelligence gehören:

  • Angreifer sind aktiv, kompetent und weit verbreitet
    Es liegen Belege für über 300 automatisierte Exploits vor, bei denen sieben SAP-spezifische Angriffsvektoren ausgenutzt wurden, sowie für über 100 „Hands-on-Keyboard“-Sitzungen durch eine Vielzahl von Angreifern. Es gibt eindeutige Hinweise auf fundierte Fachkenntnisse, einschließlich der Installation von SAP-Patches nach dem Einbruch.
  • Das Zeitfenster für Sicherheitsverantwortliche ist klein
    Kritische SAP-Sicherheitslücken werden bereits weniger als 72 Stunden nach Veröffentlichung eines Patches ausgenutzt, und neue, ungeschützte SAP-Anwendungen, die in cloud IaaS) bereitgestellt werden, werden in weniger als drei Stunden entdeckt und kompromittiert.
  • Bedrohungen haben Auswirkungen sowohl auf die Sicherheit als auch auf die Compliance
    Eine Ausnutzung würde zur vollständigen control ungesicherte SAP-Anwendungen führen, wobei gängige Sicherheits- und Compliance -Kontrollen umgangen würden. Dies würde es Angreifern ermöglichen, sensible Informationen zu stehlen, Finanzbetrug zu begehen oder geschäftskritische Prozesse durch den Einsatz von Ransomware oder die Unterbrechung des Betriebs zu stören. Bedrohungen können zudem erhebliche Auswirkungen auf die Einhaltung gesetzlicher Vorschriften haben, darunter SOX, DSGVO, CCPA und andere.

Was als Nächstes zu tun ist

KOSTENLOSE SCHNELLBEWERTUNG

Die Experten von Onapsis helfen Ihnen dabei, Ihre kritischsten und am stärksten gefährdeten SAP-Anwendungen schnell zu identifizieren, die Sicherheitsrisiken im Hinblick auf bekannte Angriffe zu bewerten und Ihre SAP-Anwendungen kostenlos auf Anzeichen einer Kompromittierung zu untersuchen. Nach Abschluss der Untersuchung erhalten Sie von uns einen Schnellbewertungsbericht, den Sie Ihrer Geschäftsleitung vorlegen können.

Fordern Sie eine Bewertung an, indem Sie das Formular ausfüllen.

Fragen und Antworten mit dem CISO von SAP und dem CEO von Onapsis

Hören Sie sich ein Frage-und-Antwort-Gespräch mit Richard Puckett, CISO bei SAP, und Mariano Nunez, CEO bei Onapsis, an, in dem die wichtigsten Erkenntnisse und Maßnahmen erörtert werden, mit denen Sie Ihr Unternehmen sofort schützen können.

Jetzt anhören

Häufig gestellte Fragen

Die Onapsis Research Labsveröffentlichen Beobachtungen aus der Praxis und Erkenntnisse zur Cybersicherheit, die ein komplexes Bedrohungsbild aufzeigen, das auf geschäftskritische SAP-Anwendungen abzielt. Von Mitte 2020 bis zur Veröffentlichung dieses Berichts haben die Forscher von Onapsis mehr als 300 erfolgreiche Exploit-Versuche auf SAP-Instanzen verzeichnet, die aus 20 verschiedenen Ländern stammten. Diese erhebliche Exploit-Aktivität stand im Zusammenhang mit mehreren CVEs und unsicheren Konfigurationen.

In den vergangenen Monaten Onapsis Research Labs die Onapsis Research Labs anhaltende und unerbittliche böswillige Aktivitäten beobachtet, die auf bekannte Sicherheitslücken (für die SAP Patches bereitgestellt hat) und unsichere Konfigurationen in geschäftskritischen SAP-Anwendungen und -Systemen abzielen. Diese Untersuchung liefert den ersten schlüssigen Beweis dafür, dass raffinierte Angreifer SAP-Systeme in der Praxis aktiv ausnutzen.

Ja, Unternehmen sollten besorgt sein und unverzüglich Maßnahmen ergreifen, um festzustellen, ob ihre SAP-Systeme noch anfällig sind (die Patches noch nicht installiert wurden) und ob es Anzeichen für eine Kompromittierung gibt. Am Beispiel der RECON-Sicherheitslücke (CVE-2020-6287), die von den Onapsis Research Labs identifiziert Onapsis Research Labs von SAP gepatcht wurde, beobachtete Onapsis innerhalb von drei Tagen nach der Veröffentlichung des Patches ein massives Scannen nach anfälligen Systemen, nach nur vier Tagen wurde funktionsfähiger Exploit-Code auf GitHub veröffentlicht, und nach nur neun Tagen gab es die Bestätigung, dass erfolgreicher Exploit-Code verfügbar war, um einen nicht autorisierten Admin-Benutzer anzulegen. Wurde der Patch für RECON nicht innerhalb dieses Zeitraums installiert, ist es sehr wahrscheinlich, dass diese Unternehmen kompromittiert wurden.

Dieser threat intelligence beleuchtet mehrere bekannte und bestehende SAP-Sicherheitslücken sowie unsichere Konfigurationen. Durch die Ausnutzung dieser Sicherheitslücken und Fehlkonfigurationen können Cyberangreifer potenziell unbefugten Zugriff erlangen und/oder Administrator-Benutzerkonten einrichten, die ihnen den Zugriff auf beliebige SAP-Anwendungen ermöglichen, darunter unter anderem ERP, CRM, SCM, PLM, HCM, BI und Solution Manager (SolMan).

Ja, Onapsis und SAP arbeiten seit Jahren eng zusammen, um die Sicherheit der SAP-Software und -Lösungen kontinuierlich zu verbessern. So Onapsis Research Labs die Onapsis Research Labs im Jahr 2020 das SAP-Sicherheitsteam dabei Onapsis Research Labs , vier der sechs Schwachstellen zu erkennen und zu beheben, die im Zusammenhang mit den veröffentlichten HotNews-Meldungen standen. Insgesamt Onapsis Research Labs die Onapsis Research Labs SAP dabei Onapsis Research Labs , 38 Schwachstellen zu beheben.

Darüber hinaus wurde die Platform im Jahr 2020 von SAP als eine der ersten Plattformen für Cybersicherheit und Compliance als „SAP Endorsed App“ zertifiziert.

Onapsis Research Labs ein Team von Cybersicherheitsexperten, die fundiertes Fachwissen und langjährige Erfahrung bündeln, um Sicherheitserkenntnisse und threat intelligence zu liefern, threat intelligence geschäftskritische Anwendungen von SAP, Oracle, Salesforce und anderen threat intelligence . Sie haben über 800 Zero-Day-Schwachstellen aufgedeckt, und zahlreiche kritische globale CERT-Warnungen basieren auf ihren bahnbrechenden Forschungsergebnissen.

Für diesen threat intelligence Onapsis Research labs die Onapsis Research labs diese Angriffe auf ungepatchte und unsichere SAP-Anwendungen in der Praxis Onapsis Research labs . Die genauen Beobachtungsmethoden werden vertraulich behandelt, um sicherzustellen, dass Onapsis die Aktivitäten im Zusammenhang mit diesen bekannten Schwachstellen, unsicheren Konfigurationen und anderen Problemen weiterhin überwachen kann, um SAP-Kunden zu schützen.

Die Untersuchungen von Onapsis bestätigen nicht nur die Möglichkeit, sondern auch die Tatsache, dass die Bedrohung für ungepatchte und unsichere geschäftskritische SAP-Anwendungen allgegenwärtig und andauernd ist und sofortige gemeinschaftsweite Aufmerksamkeit und Zusammenarbeit erfordert, um diese Bedrohungen aufzuspüren, zu identifizieren, defend neutralisieren.

Obwohl Systeme mit Internetanbindung eher für Angriffe und Kompromittierungen anfällig sind, haben wir eindeutige Hinweise auf hartnäckige Bedrohungen gefunden, die in großen Netzwerken bestehen und dazu in der Lage sind, SAP-Systeme von innen heraus zu kompromittieren. Über böswillige Aktivitäten hinaus, die auf ungepatchte SAP-Systeme abzielen, haben wir auch Hinweise auf Angriffe auf bekannte Schwachstellen in anwendungsspezifischen Sicherheitskonfigurationen festgestellt, darunter Brute-Force-Angriffe auf SAP-Benutzerkonten mit hohen Berechtigungen. Darüber hinaus haben wir Versuche zur Ausweitung von Berechtigungen für den Zugriff auf Betriebssystemebene erfasst, wodurch sich die potenziellen Auswirkungen über SAP-Systeme und -Anwendungen hinaus ausweiten.

Zudem haben jüngste Angriffe wie jene auf SolarWinds Tausende von Organisationen einem erhöhten Risiko ausgesetzt.

Sollte es einem nicht authentifizierten Angreifer gelingen, sich Zugang zu einem SAP-System zu verschaffen, könnten die Folgen in manchen Fällen schwerwiegend bis katastrophal sein. Technisch gesehen wäre ein Angreifer in der Lage, im anfälligen SAP-System einen neuen Benutzer mit maximalen Berechtigungen (Administratorrolle) anzulegen und dabei alle Zugriffs- und Autorisierungskontrollen (wie z. B. Aufgabentrennung, Identitätsmanagement und GRC-Lösungen) zu umgehen. Dies bedeutet, dass der Angreifer control vollständige control das betroffene SAP-System sowie die zugrunde liegenden Geschäftsdaten und -prozesse erlangen könnte.

Durch Administratorrechte auf das System könnte ein Angreifer jeden Datensatz, jede Datei und jeden Bericht im System verwalten (lesen, ändern, löschen). Aufgrund der Art des uneingeschränkten Zugriffs, den ein Angreifer durch die Ausnutzung nicht gepatchter Systeme erlangen würde, kann diese Schwachstelle auch einen Mangel in den IT-Kontrollen eines Unternehmens hinsichtlich gesetzlicher Vorschriften darstellen – was sich potenziell auf die Einhaltung finanzieller Vorschriften (Sarbanes-Oxley) und Datenschutzbestimmungen (DSGVO) auswirken könnte. Die Ausnutzung der Schwachstelle ermöglicht es einem Angreifer, verschiedene böswillige Aktivitäten durchzuführen, darunter:

  • Persönliche Daten von Mitarbeitern, Kunden und Lieferanten stehlen
  • Finanzdaten lesen, ändern oder löschen
  • Bankverbindung ändern (Kontonummer, IBAN usw.)
  • Einkaufsprozesse verwalten
  • Den Betrieb des Systems stören, indem Daten beschädigt oder das System vollständig heruntergefahren wird
  • Durch die Ausführung von Betriebssystembefehlen uneingeschränkte Aktionen ausführen
  • Spuren, Protokolle und andere Dateien löschen oder bearbeiten

Viele geschäftskritische SAP-Anwendungen unterliegen wahrscheinlich spezifischen Branchen- und behördlichen Vorschriften sowie finanziellen und sonstigen Compliance-Anforderungen. Jede durchgeschleuste Sicherheitskontrolle, die durch die Ausnutzung der in diesem Bericht beschriebenen Sicherheitslücken umgangen wird, kann zu Verstößen gegen Vorschriften und Compliance-Anforderungen in kritischen Bereichen führen, wie zum Beispiel:

  • Datenschutz (z. B. DSGVO, CCPA) aufgrund unbefugten Zugriffs auf geschützte Daten, unabhängig von einer Datenentwendung
  • Finanzberichterstattung (z. B. Sarbanes-Oxley) aufgrund unbefugter Änderungen an Finanzdaten oder der Umgehung interner Kontrollen, die zu unrichtigen Finanzberichten führen

Wenn Sie Onapsis-Kunde sind, können Sie das Assess auf der Platform nutzen Platform assess SAP-Landschaft automatisch auf nicht gepatchte Systeme, Sicherheitslücken und Konfigurationsprobleme assess . Mit dem Assess können Sie einen Bericht erstellen, in dem alle gefundenen Probleme nach Schweregrad geordnet sind, und erhalten Empfehlungen zur Risikominderung, um die Behebung der Probleme zu priorisieren und zu optimieren.

Falls Sie noch kein Onapsis-Kunde sind, bietet Onapsis eine kostenlose Cyber-Risikobewertung an, die Ihnen aufzeigt, wo in Ihrer SAP-Landschaft Risiken bestehen. Fordern Sie hier eine Cyber-Risikobewertung an. Darüber hinaus können SAP-Basis-Teams den SAP Solution Manager (SolMan) nutzen, um Berichte zu SAP-Sicherheitshinweisen zu erstellen, was jedoch einen höheren manuellen Aufwand erfordert.

Das hängt davon ab, wie schnell Sie die Patches installieren konnten. In der oben genannten Frage „Sollten Unternehmen, die SAP nutzen, besorgt sein?“ wurde aufgezeigt, dass bereits vier Tage nach Veröffentlichung des Patches durch SAP funktionierende öffentliche Exploits für die RECON-Sicherheitslücke verfügbar waren. Falls Ihre Patch-Zyklen nicht sofort erfolgen oder für bestimmte Wartungsfenster geplant sind, sollten Sie die SAP-Systeme Ihres Unternehmens auf Anzeichen für eine Kompromittierung überprüfen.

Darüber hinaus hat Onapsis Brute-Force-Angriffe von Cyberkriminellen beobachtet, die auf bekannte Konfigurationsprobleme wie Administrator-Konten mit hohen Berechtigungen abzielten. Sie müssen Ihre SAP-Systeme auf Einträge von unberechtigten Administrator-Konten überprüfen.

Onapsis empfiehlt Ihrer Organisation dringend, eine Sicherheitsüberprüfung aller SAP-Systeme durchzuführen, die für die im Bericht genannten CVEs anfällig sein könnten.

Die Onapsis Research Labs Cyberangreifer mit fundierten SAP-Kenntnissen, die sich in SAP-Systeme einloggten und Zugriff auf kritische Anwendungen wie ERP, Supply Chain, CRM, PLM, HCM und BI erlangten. Da diese Anwendungen personenbezogene Daten (PII), Kundendaten, Finanzdaten, geistiges Eigentum und mehr enthalten, ist die Wahrscheinlichkeit hoch, dass diese versierten Angreifer genau wissen, wonach sie suchen und wo sie es finden können.

Die Onapsis Research Labs Aktivitäten aus zahlreichen Ländern festgestellt. Es wurde zudem beobachtet, dass sich Angreifer aus anderen Ländern von den USA aus einloggen, was es erschwert, den genauen Ursprung der Bedrohungen zu ermitteln. Zum gegenwärtigen Zeitpunkt Onapsis Research Labs die Onapsis Research Labs mit Sicherheit sagen, dass die böswilligen Aktivitäten mit Angriffen durch staatliche Akteure in Verbindung stehen.

Onapsis hat sowohl automatisierte als auch komplexere Angriffe beobachtet. Einige der komplexesten Angriffe haben gezeigt, dass diese Cyberangreifer über fundierte Kenntnisse von SAP verfügen. In einigen Fällen hat Onapsis beobachtet, wie Cyberangreifer ein ungepatchtes System ausnutzten und den Patch später installierten, um ihre Spuren zu verwischen und den erlangten Zugriff aufrechtzuerhalten.

Sollte sich unsere Organisation auch um andere Schwachstellen und Konfigurationsprobleme sorgen, die in diesem Bericht nicht erwähnt werden?

Ja, dieser Bericht konzentriert sich nur auf einige wenige kritische Punkte. SAP veröffentlicht monatlich Sicherheitshinweise, um seine Kunden vor Sicherheitslücken zu schützen. Es liegt in der Verantwortung des Unternehmens, die Patches von SAP ordnungsgemäß zu installieren und sicherzustellen, dass die Konfigurationseinstellungen sicher sind.

Die Platform zentrale Produktfunktionen zum Schutz geschäftskritischer SAP-Anwendungen. Mit unserem Assess können Anwender Bewertungen automatisieren, um Schwachstellen und Fehlkonfigurationen in SAP-Systemen zu identifizieren, die Risiken und geschäftlichen Auswirkungen zu erfassen und die Behebung von Problemen zu priorisieren. Mit unserem Defend können Anwender kontinuierlich auf aktive Bedrohungen und Missbrauch überwachen, Warnmeldungen einrichten, um schnell auf böswillige Aktivitäten zu reagieren, und eine Integration mit SIEM-Systemen vornehmen.

Onapsis bietet seinen Kunden zudem kostenlose Produkte und professionelle Dienstleistungen an, um sicherzustellen, dass ihre geschäftskritischen SAP-Anwendungen angemessen geschützt sind. Darüber hinaus stellt Onapsis Open-Source-Tools zur Verfügung, mit denen sich eine schnelle Überprüfung auf anfällige Systeme durchführen und Anzeichen für eine Kompromittierung (IOCs) erkennen lassen. Diese Tools können kostenlos im GitHub-Repository von Onapsis heruntergeladen werden: https://github.com/Onapsis.

Wie bereits in der obigen Frage „Was können wir tun, um diese Schwachstellen und Konfigurationsfehler zu überprüfen?“ erwähnt, bietet Onapsis einen kostenlosen Cyber-Risiko-Assessment-Service an, um bestehende Schwachstellen und Fehlkonfigurationen in SAP-Systemen zu identifizieren. Darüber hinaus bietet Onapsis potenziellen Kunden Produkttestversionen und Servicepakete an, mit denen Sie Ihre geschäftskritischen SAP-Anwendungen schon heute schützen können.

Darüber hinaus bietet Onapsis Open-Source-Tools an, mit denen sich eine schnelle Überprüfung auf anfällige Systeme durchführen und Anzeichen für eine Kompromittierung (IOCs) erkennen lassen. Diese Tools stehen im GitHub-Repository von Onapsis zum kostenlosen Download bereit: https://github.com/Onapsis.

Die Cybersicherheitsexperten von Onapsis aus den Onapsis Research Labs dem Bereich Professional Services stehen Ihnen gerne zur Verfügung. Wir empfehlen Ihnen, sich mit uns in Verbindung zu setzen, um eine schnelle Bewertung Ihrer SAP-Anwendungen zu erhalten.

Eine Schnellbewertung anfordern

Sind Sie bereit, Ihre Sicherheitslücke bei SAP zu schließen?

Wir zeigen Ihnen, wie einfach es sein kann, Ihre Geschäftsanwendungen zu schützen.

Kontaktieren Sie uns