Onapsis und SAP arbeiten zusammen, um SAP-Kunden vor der RECON-Sicherheitslücke zu schützen
Nicht gepatchte SAP-Systeme sind einem hohen Risiko durch potenzielle Cyberbedrohungen und Compliance-Verstöße ausgesetzt
Die Onapsis Research Labs das SAP Security Response Team haben gemeinsam daran gearbeitet, die schwerwiegende RECON-Sicherheitslücke aufzudecken und zu beheben.
Als „HotNews“ gekennzeichnet – SAP-Hinweis Nr. 2934135 (CVE-2020-6287) in den SAP-Sicherheitshinweisen vom Juli 2020 identifiziert, weist die RECON-Sicherheitslücke (Remotely Exploitable Code On NetWeaver) einen CVSS-Wert von 10 von 10 Punkten auf (höchste Schweregradstufe) und kann potenziell ausgenutzt werden, was die Vertraulichkeit, Integrität und Verfügbarkeit geschäftskritischer SAP-Anwendungen beeinträchtigt.
Ein erfolgreicher Angriff auf RECON könnte einem nicht authentifizierten Angreifer vollständigen Zugriff auf das betroffene SAP-System verschaffen. Dazu gehören die Möglichkeit, Finanzdaten zu verändern, personenbezogene Daten (PII) von Mitarbeitern, Kunden und Lieferanten zu stehlen, Daten zu verfälschen, Protokolle und Trace-Daten zu löschen oder zu verändern sowie weitere Handlungen, die den wesentlichen Geschäftsbetrieb, die Cybersicherheit und die Einhaltung gesetzlicher Vorschriften gefährden.
Die RECON-Sicherheitslücke betrifft eine Standardkomponente, die in jeder SAP-Anwendung vorhanden ist, auf der der SAP NetWeaver Java-Technologie-Stack läuft. Diese technische Komponente wird in vielen SAP-Geschäftslösungen verwendet, darunter SAP SCM, SAP CRM, SAP PI, SAP Enterprise Portal und SAP Solution Manager (SolMan), wodurch mehr als 40.000 SAP-Kunden betroffen sind.
Um mehr über die RECON-Sicherheitslücke zu erfahren, laden Sie jetzt den vollständigen Onapsis-Bedrohungsbericht herunter und lesen Sie die unten stehenden FAQs.
Wenn Sie weitere Informationen zur Cyber-Risikobewertung von Onapsis wünschen und erfahren möchten, wie wir Ihnen dabei helfen können, Ihr Risiko im Zusammenhang mit der RECON-Sicherheitslücke zu ermitteln, laden Sie sich unsere Zusammenfassung herunter.
Globale Zertifikatswarnungen
Zahlreiche internationale Organisationen haben Warnungen wegen der potenziellen Gefahren im Zusammenhang mit ICMAD-Sicherheitslücken herausgegeben. Klicken Sie auf die Logos, um die jeweiligen Warnungen anzuzeigen.
Laden Sie den Bedrohungsbericht herunter, um mehr zu erfahren
- Wie die RECON-Sicherheitslücke 40.000 SAP-Kunden gefährdet
- Einzelheiten zur RECON-Sicherheitslücke und den möglichen Auswirkungen auf die Cybersicherheit und die Einhaltung von Vorschriften
- So schützen Sie Ihr SAP-System und Ihr Unternehmen
Weiterführende Literatur
Möchten Sie sich näher damit befassen? Beginnen Sie mit diesen verwandten Artikeln und besuchen Sie dann unsere Seite „Ressourcen“, um weitere Informationen zu erhalten.
Assess Baseline “Baseline Biotech-Unternehmen einen einfachen Einstieg, um ihre kritischen SAP-Anwendungen abzusichern
Erfahren Sie, wie es einem CISO eines mittelständischen Biotech-Unternehmens gelang, eine erhebliche Sicherheitslücke bei seinen kritischen SAP-Anwendungen zu schließen und mithilfe von Onapsis rasch ein erfolgreiches Programm zum vulnerability management aufzubauen.
5 Gründe, warum Sie Vulnerability Management für geschäftskritische Anwendungen benötigen
Sichern Sie Ihre geschäftskritischen Anwendungen. Hier sind fünf Gründe, warum Sie Funktionen zum vulnerability management für SAP, Oracle und andere Unternehmenssysteme benötigen.
Kritische SAP-RECON-Sicherheitslücke: Wer ist gefährdet und wie können Sie Ihr Unternehmen schützen?
Onapsis Research Labs hat diese Sicherheitslücke Onapsis Research Labs im Mai 2020 entdeckt und seitdem eng mit dem SAP Security Response Team an einer Strategie zur Risikominderung zusammengearbeitet. Mehr als 40.000 SAP-Kunden sind möglicherweise von RECON betroffen, wobei über 2.500 Systeme mit Internetanbindung einem noch höheren Risiko ausgesetzt sind.
Häufig gestellte Fragen
Im Mai 2020 Onapsis Research Labs die Onapsis Research Labs eine schwerwiegende Sicherheitslücke, die eine in vielen SAP-Anwendungen enthaltene Komponente betrifft. Die mit einem CVSS-Score von 10 bewertete RECON-Sicherheitslücke (Remotely Exploitable Code On NetWeaver) befindet sich in einer Standard-Kernanwendung. Da diese Sicherheitslücke von nicht authentifizierten Angreifern aus der Ferne ausgenutzt werden kann, könnten Systeme, die mit nicht vertrauenswürdigen Netzwerken wie dem Internet verbunden sind, opportunistisch von Angreifern ins Visier genommen werden.
Auf der Grundlage der betroffenen Versionen schätzt Onapsis, dass über 40.000 SAP-Systeme von dieser Sicherheitslücke betroffen sein könnten. Onapsis geht davon aus, dass mindestens 2.500 anfällige SAP-Systeme direkt mit dem Internet verbunden sind, davon 45 % in Nordamerika, 12 % in Europa und 30 % im asiatisch-pazifischen Raum.
Gemäß der Richtlinie zur koordinierten Offenlegung von Sicherheitslücken von Onapsis hat Onapsis diese Sicherheitslücke an SAP gemeldet und eng mit dem Security Response Team von SAP zusammengearbeitet, um das Problem zu beheben. SAP hat den SAP HotNews-Sicherheitshinweis Nr. 2934135 veröffentlicht, der dieses Problem behandelt.
Sicherheitslücken wie RECON treten zwar selten auf, doch diese Art von Sicherheitsproblemen macht ihre Seltenheit durch ihre Auswirkungen auf den Geschäftsbetrieb und die Compliance mehr als wett. Wie in diesem Bedrohungsbericht erläutert, erhält ein Angreifer, der diese Schwachstelle ausnutzt, in einer Vielzahl unterschiedlicher Szenarien uneingeschränkten Zugriff auf kritische Geschäftsinformationen und -prozesse. Angesichts der Verbreitung dieser Schwachstelle in SAP-Produkten sind wahrscheinlich die meisten SAP-Kunden davon betroffen. Onapsis hat eng mit dem SAP Security Response Team zusammengearbeitet, um diese Schwachstelle zu melden und zu beheben; der entsprechende Patch wurde in den SAP Security Notes vom Juli 2020 veröffentlicht.
Für SAP-Kunden ist es von grundlegender Bedeutung, den Patch zu installieren und die bereitgestellten Empfehlungen zu befolgen, um den Schutz ihrer Systeme zu gewährleisten. Eine kontinuierliche Überwachung der SAP-Systeme und die automatisierte Überprüfung der Sicherheitskonfigurationen sind unerlässlich, um die Sicherheit geschäftskritischer Informationen und Prozesse zu gewährleisten.
Die Onapsis Research Labs das SAP Security Response Team haben gemeinsam daran gearbeitet, die RECON-Sicherheitslücke in Rekordzeit zu schließen. Die RECON-Sicherheitslücke, die in der Veröffentlichung der SAP Security Notes vom Juli 2020 als „HotNews SAP Security Note#2934135“ ausgewiesen ist, weist einen CVSS-Wert von 10 von 10 Punkten auf (höchste Schweregradstufe) und kann potenziell ausgenutzt werden, was die Vertraulichkeit, Integrität und Verfügbarkeit geschäftskritischer SAP-Anwendungen beeinträchtigen kann.
Diese Sicherheitslücke betrifft SAP NetWeaver Java in den Versionen 7.30 bis 7.50. Alle Onapsis Research Labs von den Onapsis Research Labs getesteten Support-Pakete waren anfällig. SAP NetWeaver bildet die Basis für zahlreiche SAP-Produkte und -Lösungen. Dies bedeutet, dass bei mehr als 40.000 SAP-Kunden eine Vielzahl von Produkten betroffen sein könnte.
Zu den betroffenen SAP-Lösungen gehören unter anderem:
- SAP-Unternehmensressourcenplanung (ERP)
- SAP-Lieferkettenmanagement (SCM)
- SAP CRM (Java-Stack)
- SAP Enterprise Portal
- SAP HR-Portal
- SAP Solution Manager (SolMan) 7.2
- SAP-Landschaftsmanagement (SAP LaMa)
- SAP-Prozessintegration/Orchestrierung (SAP PI/PO)
- SAP Supplier Relationship Management (SRM)
- SAP NetWeaver Mobile Infrastructure (MI)
- SAP NetWeaver Development Infrastructure (NWDI)
- SAP NetWeaver Composition Environment (CE)
Da SAP SolMan betroffen ist und in fast jeder SAP-Umgebung eingesetzt wird, kann man davon ausgehen, dass fast jeder SAP-Kunde mindestens ein System hat, das von dieser Sicherheitslücke betroffen ist.
Auf jeden Fall. Böswillige Angreifer benötigen keine Verbindung dieser Systeme zum Internet oder zur cloud sie anzugreifen, da sie sich in der Regel über Spear-Phishing und andere Angriffe Zugang zum Netzwerk „hinter der Firewall“ verschaffen können.
Sobald man sich im Netzwerk befindet, stellt man häufig fest, dass SAP-Anwendungen wie die von RECON betroffenen für geschäftliche Anwendungsfälle zugänglich sind. Da ein Angreifer in diesem Fall nicht einmal über eine gültige Benutzer-ID in der betroffenen SAP-Anwendung verfügen müsste, ist es sehr wahrscheinlich, dass er diese erfolgreich kompromittieren könnte, sofern sie nicht gepatcht sind.
Zudem haben die meisten großen Unternehmen bereits erkannt, dass ihr „internes Netzwerk“ nicht mehr so kontrolliert ist wie früher, da VPNs, BYOD, externe Auftragnehmer und viele andere Faktoren heute ein Umfeld schaffen, in dem man den angeschlossenen Geräten nicht mehr vertrauen kann.
Wenn ein nicht authentifizierter Angreifer eine Verbindung zum HTTP(S)-Dienst herstellen und die RECON-Sicherheitslücke erfolgreich ausnutzen kann, könnten die Folgen in manchen Situationen schwerwiegend sein. Technisch gesehen wäre ein Angreifer in der Lage, im anfälligen SAP-System einen neuen Benutzer mit maximalen Berechtigungen (Administratorrolle) anzulegen und dabei alle Zugriffs- und Autorisierungskontrollen (wie z. B. Aufgabentrennung, Identitätsmanagement und GRC-Lösungen) zu umgehen. Dies bedeutet, dass der Angreifer control vollständige control das betroffene SAP-System sowie die zugrunde liegenden Geschäftsdaten und -prozesse erlangen könnte.
Durch den Administratorzugriff auf das System kann der Angreifer jeden Datensatz, jede Datei und jeden Bericht im System verwalten (lesen, ändern, löschen). Aufgrund der Art des uneingeschränkten Zugriffs, den ein Angreifer durch die Ausnutzung nicht gepatchter Systeme erlangen würde, kann diese Schwachstelle auch einen Mangel in den IT-Kontrollen eines Unternehmens hinsichtlich gesetzlicher Vorschriften darstellen – was sich potenziell auf die Einhaltung finanzieller Vorschriften (Sarbanes-Oxley) und Datenschutzbestimmungen (DSGVO) auswirken könnte. Die Ausnutzung der Schwachstelle ermöglicht es einem Angreifer, verschiedene böswillige Aktivitäten durchzuführen, darunter:
- Persönliche Daten von Mitarbeitern, Kunden und Lieferanten stehlen
- Finanzdaten lesen, ändern oder löschen
- Bankverbindung ändern (Kontonummer, IBAN usw.)
- Einkaufsprozesse verwalten
- Den Betrieb des Systems stören, indem Daten beschädigt oder das System vollständig heruntergefahren wird
- Durch die Ausführung von Betriebssystembefehlen uneingeschränkte Aktionen ausführen
- Spuren, Protokolle und andere Dateien löschen oder ändern.
Da SAP NetWeaver Java eine grundlegende Basis für mehrere SAP-Produkte bildet, hängen die konkreten Auswirkungen vom jeweiligen betroffenen System ab. Insbesondere gibt es verschiedene SAP-Lösungen, die auf NetWeaver Java aufsetzen und eine gemeinsame Besonderheit aufweisen: Sie sind über APIs und Schnittstellen eng miteinander vernetzt. Mit anderen Worten: Diese Anwendungen sind mit anderen internen und externen Systemen verbunden und nutzen dabei in der Regel Vertrauensbeziehungen mit hohen Berechtigungen.
Die Unternehmensleitung sollte sich dieses Risikos bewusst sein, angefangen beim CISO und CIO bis hin zum CFO und CEO. Angesichts der potenziellen Auswirkungen solcher Mängel auf geschäftskritische Systeme auf die Einhaltung gesetzlicher Vorschriften sollten zudem Ihr internes Revisionsteam sowie der Leiter der Compliance- und Revisionsabteilung assess Risiko assess .
Leider kann diese Sicherheitslücke von keiner Lösung erkannt werden, die GRC- oder Aufgabentrennungskontrollen (SoD) für SAP durchführt. Da diese Angriffe nicht authentifiziert erfolgen und keine Benutzerdaten oder Passwörter erfordern, können Angreifer bestehende SoD-Kontrollen problemlos umgehen.
Leider fällt die RECON-Sicherheitslücke nicht in den allgemeinen Geltungsbereich der IT-Generalkontrollen (ITGC). Selbst in einem Szenario, in dem die ITGCs in Ihrer SAP-Umgebung einen zufriedenstellenden Stand aufweisen, könnte das Vorhandensein dieses Risikos der Kombination mehrerer Mängel bei den ITGCs gleichkommen. Nach unserer Erfahrung werden die mit Sicherheitslücken wie RECON verbundenen Risiken in herkömmlichen Audits in der Regel nicht berücksichtigt. Wir empfehlen internen und externen Prüfern, eine Risikobewertung der RECON-Sicherheitslücke als Teil Ihrer ITGC-Prüfungen für SAP-Systeme durchzuführen.
Wird diese Schwachstelle ausgenutzt, kann ein nicht authentifizierter Angreifer (ohne Benutzername oder Passwort) einen neuen SAP-Benutzer mit maximalen Berechtigungen anlegen, dabei alle Zugriffs- und Autorisierungskontrollen (wie z. B. Aufgabentrennung, Identitätsmanagement und GRC-Lösungen) umgehen und control vollständige control SAP-Systeme erlangen. Die RECON-Schwachstelle ist besonders gefährlich, da viele der betroffenen Lösungen häufig mit dem Internet verbunden sind, um Unternehmen mit Geschäftspartnern, Mitarbeitern und Kunden zu vernetzen, was die Wahrscheinlichkeit von Fernangriffen drastisch erhöht.
Onapsis liegen bislang keine Hinweise darauf vor, dass die RECON-Sicherheitslücke in der Praxis ausgenutzt wird. Aufgrund unserer praktischen Erfahrungen mit Kunden, Partnern und Interessenten können wir jedoch bestätigen, dass jedes nicht gepatchte SAP-System anfällig für Angriffe sein kann. Da die meisten Unternehmen nicht in der Lage sind, die Ausnutzung dieser Sicherheitslücken zu erkennen, kann eine Kompromittierung des Systems sogar unentdeckt bleiben.
Über die Expertise von Onapsis im Bereich der Sicherheit geschäftskritischer Anwendungen
Als führender Experte für Cybersicherheit bei geschäftskritischen Anwendungen Onapsis Research Labs Onapsis und die Onapsis Research Labs über 800 Zero-Day-Sicherheitslücken in geschäftskritischen Anwendungen wie Oracle und SAP gemeldet und zu deren Behebung beigetragen.
Wenn die Onapsis Research Labs eine potenzielle Schwachstelle Onapsis Research Labs , benachrichtigen sie umgehend das SAP Security Response Team, damit dieses mit der Bewertung beginnen und einen Patch für die gemeldete Fehlkonfiguration und/oder Schwachstelle vorbereiten kann. Die Onapsis Research Labs SAP alle erforderlichen Informationen Onapsis Research Labs , um sicherzustellen, dass das Unternehmen über die notwendigen Mittel zur Erstellung des Patches verfügt. Onapsis veröffentlicht keine Informationen über Schwachstellen, bis der Anbieter einen offiziellen Patch veröffentlicht hat.
Ja, die Onapsis Platform Unternehmen die Möglichkeit, die RECON-Sicherheitslücke in ihren SAP-Systemen zu erkennen und das Risiko schnell zu mindern.
Um SAP-Kunden vor Bedrohungen durch die RECON-Sicherheitslücke zu schützen, Platform die Platform automatisierte Bewertungsfunktionen, Erkennungsregeln und Warnmeldungen, mit denen böswillige Aktivitäten, die auf diese und viele andere Sicherheitslücken abzielen, kontinuierlich überwacht werden.
Assess
Mithilfe des Assess der Platform können Onapsis-Kunden automatisch eine umfassende Bestandsaufnahme ihrer SAP-Landschaft durchführen und prüfen, ob RECON in ihren SAP-Systemen vorhanden ist, um die Behebung von Schwachstellen zu optimieren und Risiken zu minimieren.
Defend
Onapsis-Kunden, die das Defend der Platform (Version 2.200.61) nutzen, verfügen über eine Erkennungsfunktion, die kontinuierlich auf böswillige Aktivitäten überwacht und Warnmeldungen ausgibt, um Angriffe zu verhindern, die die RECON-Sicherheitslücke ausnutzen.
Führen Sie noch heute eine SAP-Cyber-Risikobewertung durch
Für SAP-Kunden, die die Onapsis Platform nicht nutzen, bietet Onapsis eine kostenlose Cyber-Risikobewertung an, um festzustellen, ob diese (und andere) Sicherheitslücken in ihren SAP-Systemen vorhanden sind.