Onapsis und SAP arbeiten zusammen, um SAP-Kunden vor RECON-Schwachstelle zu schützen

Ungepatchte SAP-Systeme mit hohem Risiko für potenzielle Cyber-Bedrohungen und Compliance-Verstöße

Die Onapsis Research Labs und das SAP Security Response Team arbeiteten zusammen, um die schwerwiegende RECON-Schwachstelle aufzudecken und zu beheben.

Identifiziert als HotNews SAP Note #2934135 (CVE-2020-6287) in den SAP-Sicherheitshinweisen vom Juli 2020 hat die RECON-Schwachstelle (Remotely Exploitable Code On NetWeaver) einen CVSS-Score von 10 von 10 (die schwerste) und kann potenziell ausgenutzt werden, was Auswirkungen auf die Vertraulichkeit, Integrität und Sicherheit hat Verfügbarkeit geschäftskritischer SAP-Anwendungen. 

Ein erfolgreicher Exploit von RECON könnte einem nicht authentifizierten Angreifer vollständigen Zugriff auf das betroffene SAP-System verschaffen. Dazu gehört die Möglichkeit, Finanzunterlagen zu ändern, personenbezogene Daten (PII) von Mitarbeitern, Kunden und Lieferanten zu stehlen, Daten zu beschädigen, Protokolle und Spuren zu löschen oder zu ändern sowie andere Aktionen, die wesentliche Geschäftsabläufe, Cybersicherheit und die Einhaltung gesetzlicher Vorschriften gefährden.

Die RECON-Schwachstelle betrifft eine Standardkomponente, die in jeder SAP-Anwendung vorhanden ist, auf der der SAP NetWeaver Java-Technologie-Stack ausgeführt wird. Diese technische Komponente wird in vielen SAP-Geschäftslösungen eingesetzt, darunter SAP SCM, SAP CRM, SAP PI, SAP Enterprise Portal und SAP Solution Manager (SolMan), und betrifft mehr als 40,000 SAP-Kunden.

Um mehr über die RECON-Sicherheitslücke zu erfahren, laden Sie jetzt den vollständigen Onapsis Threat Report herunter und lesen Sie die FAQs unten.

Weitere Informationen zur Cyber-Risikobewertung von Onapsis und dazu, wie wir Ihnen dabei helfen können, Ihr Risikoniveau für die RECON-Schwachstelle zu bestimmen, finden Sie hier: Laden Sie unser Executive Briefing herunter.

Globale Zertifikatwarnungen

Zahlreiche globale Organisationen haben aufgrund der potenziellen Bedrohungen im Zusammenhang mit ICMAD-Schwachstellen Warnungen herausgegeben. Klicken Sie auf die Logos, um die einzelnen Warnmeldungen anzuzeigen.

Laden Sie den Bedrohungsbericht herunter, um mehr zu erfahren

  • Wie die RECON-Schwachstelle 40,000 SAP-Kunden gefährdet
  • Details zur RECON-Schwachstelle und den möglichen Auswirkungen auf Cybersicherheit und Compliance
  • So schützen Sie Ihr SAP-System und Ihre Organisation

Weiterführende Literatur

Möchten Sie eine ausführlichere Erkundung? Beginnen Sie mit diesen verwandten Teilen und besuchen Sie dann unsere Ressourcenseite für weitere Informationen.

Häufigsten Fragen

Was ist die RECON-Sicherheitslücke? Was bedeutet das?

Im Mai 2020 identifizierten die Onapsis Research Labs eine schwerwiegende Schwachstelle, die eine Komponente betrifft, die in vielen SAP-Anwendungen enthalten ist. Die mit einem CVSS-Score von 10 gekennzeichnete RECON-Schwachstelle (Remotely Exploitable Code On NetWeaver) befindet sich in einer Standardkernanwendung. Da diese Schwachstelle von nicht authentifizierten Angreifern aus der Ferne ausgenutzt werden kann, könnten Systeme, die nicht vertrauenswürdigen Netzwerken wie dem Internet ausgesetzt sind, von Angreifern gezielt angegriffen werden.

Basierend auf den betroffenen Versionen schätzt Onapsis, dass über 40,000 SAP-Systeme von dieser Sicherheitslücke betroffen sein könnten. Onapsis schätzt, dass mindestens 2,500 anfällige SAP-Systeme direkt dem Internet ausgesetzt sind, davon 45 % in Nordamerika, 12 % in Europa und 30 % im asiatisch-pazifischen Raum.

Gemäß der Richtlinie zur koordinierten Offenlegung von Onapsis hat Onapsis diese Sicherheitslücke an SAP gemeldet und eng mit dem Security Response Team zusammengearbeitet, um sie zu beheben. SAP hat den SAP HotNews-Sicherheitshinweis Nr. veröffentlicht.2934135 dieses Problem anzugehen.

Ich bin SAP-Kunde, wie muss ich auf RECON reagieren?

Schwachstellen wie RECON kommen nicht oft vor, aber diese Art von Sicherheitsproblemen kompensieren ihre Seltenheit durch Auswirkungen auf das Geschäft und die Compliance. Wie in diesem Bedrohungsbericht erläutert, hat ein Angreifer, der diese Schwachstelle ausnutzt, in verschiedenen Szenarien uneingeschränkten Zugriff auf wichtige Geschäftsinformationen und -prozesse. Basierend auf der Verbreitung dieser Sicherheitslücke in allen SAP-Produkten werden wahrscheinlich die meisten SAP-Kunden betroffen sein. Onapsis hat eng mit dem SAP Security Response Team zusammengearbeitet, um diese Schwachstelle zu melden und zu beheben. Der Patch wird in den SAP-Sicherheitshinweisen vom Juli 2020 veröffentlicht.

Für SAP-Kunden ist es von grundlegender Bedeutung, den Patch anzuwenden und die bereitgestellten Empfehlungen zu befolgen, um geschützt zu bleiben. Die kontinuierliche Überwachung von SAP-Systemen und die automatisierte Bewertung von Sicherheitskonfigurationen sind unerlässlich, um sicherzustellen, dass geschäftskritische Informationen und Prozesse sicher sind.

Gibt es einen Patch für die RECON-Schwachstelle?

Die Onapsis Research Labs und das SAP Security Response Team arbeiteten zusammen, um die RECON-Schwachstelle in Rekordzeit zu schließen. Identifiziert als HotNews SAP-Sicherheitshinweis Nr.2934135 In der Veröffentlichung der SAP-Sicherheitshinweise vom Juli 2020 hat die RECON-Schwachstelle einen CVSS-Score von 10 von 10 (die schwerste) und kann potenziell ausgenutzt werden, was Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit geschäftskritischer SAP-Anwendungen hat.

Warum sind so viele Organisationen von der RECON-Sicherheitslücke bedroht?

Diese Sicherheitslücke befindet sich in den SAP NetWeaver Java-Versionen 7.30 bis 7.50. Alle bisher von den Onapsis Research Labs getesteten Support-Pakete waren angreifbar. SAP NetWeaver ist die Basisschicht für mehrere SAP-Produkte und -Lösungen. Dies bedeutet, dass eine breite Produktpalette für mehr als 40,000 SAP-Kunden betroffen sein könnte.

Welche SAP-Lösungen sind betroffen?

Zu den betroffenen SAP-Lösungen gehören unter anderem:

  • SAP Enterprise Resource Planning (ERP)
  • SAP Supply Chain Management (SCM)
  • SAP CRM (Java Stack)
  • SAP Enterprise Portal
  • SAP HR Portal
  • SAP Solution Manager (SolMan) 7.2
  • SAP Landschaftsmanagement (SAP LaMa)
  • SAP-Prozessintegration/Orchestrierung (SAP PI/PO)
  • SAP Lieferantenbeziehungsmanagement (SRM)
  • SAP NetWeaver Mobile Infrastructure (MI)
  • SAP NetWeaver Development Infrastructure (NWDI)
  • SAP NetWeaver Composition Environment (CE)

Da SAP SolMan in fast jeder SAP-Umgebung betroffen und eingesetzt wird, kann man davon ausgehen, dass bei fast jedem SAP-Kunden mindestens ein System von dieser Schwachstelle betroffen ist.

Wenn mein Unternehmen SAP nicht in der Cloud nutzt oder SAP-Systeme nicht dem Internet zugänglich macht, sollte ich mich dann um sie kümmern?

Absolut. Böswillige Bedrohungsakteure müssen diese Systeme nicht im Internet oder in der Cloud angreifen, um sie anzugreifen, da sie sich in der Regel durch Spear-Phishing und andere Angriffe Zugang zum Netzwerk „hinter der Firewall“ verschaffen können.

Sobald man sich im Netzwerk befindet, stellt man häufig fest, dass SAP-Anwendungen wie die von RECON betroffenen für geschäftliche Anwendungsfälle zugänglich sind. Da ein Angreifer in diesem Fall nicht einmal über eine gültige Benutzer-ID in der SAP-Zielanwendung verfügen muss, ist es sehr wahrscheinlich, dass er diese erfolgreich kompromittieren kann, wenn kein Patch vorhanden ist.

Darüber hinaus haben die meisten großen Unternehmen bereits erkannt, dass ihr „internes Netzwerk“ nicht mehr wie früher kontrolliert wird, da VPNs, BYOD, ausgelagerte Auftragnehmer und viele andere Variablen heute eine Umgebung schaffen, in der es nicht möglich ist, den angeschlossenen Geräten zu vertrauen.

Welche geschäftlichen Auswirkungen haben die RECON-Schwachstellen in meiner Organisation?

Wenn es einem nicht authentifizierten Angreifer gelingt, eine Verbindung zum HTTP(S)-Dienst herzustellen und die RECON-Schwachstelle erfolgreich auszunutzen, können die Auswirkungen in manchen Situationen kritisch sein. Technisch gesehen wäre ein Angreifer in der Lage, im anfälligen SAP-System einen neuen Benutzer mit maximalen Berechtigungen (Administratorrolle) anzulegen und dabei alle Zugriffs- und Berechtigungskontrollen (wie Aufgabentrennung, Identitätsmanagement und GRC-Lösungen) zu umgehen. Dies bedeutet, dass der Angreifer die vollständige Kontrolle über das betroffene SAP-System sowie die zugrunde liegenden Geschäftsdaten und -prozesse erlangen könnte.

Der Administratorzugriff auf das System ermöglicht es dem Angreifer, alle Datensätze/Dateien/Berichte im System zu verwalten (lesen/ändern/löschen). Aufgrund der Art des uneingeschränkten Zugriffs, den ein Angreifer durch die Ausnutzung nicht gepatchter Systeme erhalten würde, kann diese Schwachstelle auch einen Mangel in den IT-Kontrollen eines Unternehmens für behördliche Vorschriften darstellen – was möglicherweise Auswirkungen auf die Einhaltung der finanziellen (Sarbanes-Oxley) und Datenschutz- (DSGVO) hat. Durch die Ausnutzung der Sicherheitslücke kann ein Angreifer mehrere böswillige Aktivitäten ausführen, darunter:

  • Stehlen Sie personenbezogene Daten (PII) von Mitarbeitern, Kunden und Lieferanten
  • Finanzunterlagen lesen, ändern oder löschen
  • Bankdaten ändern (Kontonummer, IBAN-Nummer usw.)
  • Einkaufsprozesse verwalten
  • Unterbrechen Sie den Betrieb des Systems, indem Sie Daten beschädigen oder das System vollständig herunterfahren
  • Führen Sie uneingeschränkte Aktionen durch die Ausführung von Betriebssystembefehlen aus
  • Löschen oder ändern Sie Traces, Protokolle und andere Dateien.

Da SAP NetWeaver Java eine grundlegende Basisschicht für mehrere SAP-Produkte ist, variieren die spezifischen Auswirkungen je nach betroffenem System. Insbesondere gibt es verschiedene SAP-Lösungen, die auf NetWeaver Java laufen und eine gemeinsame Besonderheit haben: Sie sind über APIs und Schnittstellen hypervernetzt. Mit anderen Worten: Diese Anwendungen sind an andere interne und externe Systeme angebunden und nutzen in der Regel hochprivilegierte Vertrauensbeziehungen.

Wer sollte sich dieses Risikos in meiner Organisation bewusst sein?

Das Management sollte sich dieses Risikos bewusst sein, angefangen beim CISO und CIO bis hin zum CFO und CEO. Angesichts der potenziellen Compliance-Auswirkungen dieser Art von Mängeln auf geschäftskritische Systeme sollten Ihr internes Revisionsteam und der Leiter für Compliance und Audit dieses Risiko außerdem bewerten.

Würde diese Schwachstelle durch meine GRC-Lösung/Funktionstrennungskontrollen gefunden?

Leider kann diese Schwachstelle von keiner Lösung erkannt werden, die GRC- oder Funktionstrennungskontrollen (SoD) für SAP durchführt. Da diese Angriffe nicht authentifiziert wären und keine Benutzeranmeldeinformationen oder Passwörter erfordern, können Angreifer alle vorhandenen SoD-Kontrollen leicht umgehen.

Könnte dies durch allgemeine IT-Kontrollen abgemildert werden?

Leider fällt die RECON-Schwachstelle nicht in den allgemeinen Anwendungsbereich der IT General Controls (ITGC). Selbst in einem Szenario, in dem die ITGCs in Ihrer SAP-Umgebung einen zufriedenstellenden Zustand aufweisen, könnte das Vorhandensein dieses Risikos einer Kombination mehrerer ITGCs-Mängel gleichkommen. Nach unserer Erfahrung werden die mit Schwachstellen wie RECON verbundenen Risiken in herkömmlichen Audits in der Regel nicht berücksichtigt. Wir ermutigen interne und externe Prüfer, eine Risikobewertung der RECON-Schwachstelle in ihre ITGC-Prüfungen für SAP-Systeme einzubeziehen.

Reicht die Perimeter-Sicherheitsverteidigung aus, um unser Unternehmen zu schützen?

Bei Ausnutzung kann ein nicht authentifizierter Angreifer (kein Benutzername oder Passwort erforderlich) einen neuen SAP-Benutzer mit maximalen Berechtigungen erstellen, alle Zugriffs- und Berechtigungskontrollen (wie Aufgabentrennung, Identitätsmanagement und GRC-Lösungen) umgehen und die volle Kontrolle über SAP-Systeme erlangen. Die RECON-Schwachstelle ist besonders gefährlich, da viele der betroffenen Lösungen oft über das Internet erreichbar sind, um Unternehmen mit Geschäftspartnern, Mitarbeitern und Kunden zu verbinden, was die Wahrscheinlichkeit von Remote-Angriffen drastisch erhöht.

War diese Schwachstelle bei SAP-Kunden kompromittiert?

Onapsis liegen bisher keine Hinweise darauf vor, dass die RECON-Schwachstelle in freier Wildbahn ausgenutzt wird. Basierend auf unserer Erfahrung mit Kunden, Partnern und Interessenten können wir jedoch bestätigen, dass jedes ungepatchte SAP-System anfällig für Angriffe sein kann. Da die meisten Unternehmen die Ausnutzung dieser Schwachstellen nicht erkennen können, kann eine Systemkompromittierung sogar unentdeckt bleiben.

Über die geschäftskritische Anwendungssicherheitsexpertise von Onapsis

Wie viele Schwachstellen in SAP haben die Onapsis Labs dem SAP-Sicherheitsreaktionsteam bisher bei der Behebung geholfen?

Als führender Cybersicherheitsexperte für geschäftskritische Anwendungen haben Onapsis und die Onapsis Research Labs über 800 Zero-Day-Sicherheitslücken in geschäftskritischen Anwendungen wie Oracle und SAP gemeldet und dazu beigetragen, diese zu schließen.

Wie arbeiten die Onapsis Research Labs mit SAP zusammen?

Wenn die Onapsis Research Labs eine potenzielle Schwachstelle identifizieren, benachrichtigen sie sofort das SAP Security Response Team, damit es mit der Bewertung und Vorbereitung eines Patches für die gemeldete Fehlkonfiguration und/oder Schwachstelle beginnen kann. Die Onapsis Research Labs stellen SAP alle notwendigen Informationen zur Verfügung, um zu bestätigen, dass sie über alles verfügen, was sie zur Erstellung des Patches benötigen. Onapsis gibt keine Informationen über Schwachstellen an die Öffentlichkeit weiter, bis der Anbieter einen offiziellen Patch veröffentlicht.

Sind Onapsis-Kunden vor der RECON-Schwachstelle geschützt?

Ja, die Onapsis-Plattform bietet Unternehmen die Möglichkeit, die RECON-Schwachstelle in ihren SAP-Systemen zu identifizieren und das Risiko schnell zu mindern.

Um SAP-Kunden vor Bedrohungen durch die RECON-Schwachstelle zu schützen, umfasst die Onapsis-Plattform automatisierte Bewertungen, Erkennungsregeln und Alarme, um bösartige Aktivitäten, die auf diese spezifische Schwachstelle und viele andere abzielen, kontinuierlich zu überwachen.

Bewerten Sie Ihre Fähigkeiten
Verwendung der Bewerten Sie das Modul der Onapsis-PlattformOnapsis-Kunden können automatisch eine vollständige Bewertung ihrer SAP-Landschaft durchführen und analysieren, ob RECON in ihren SAP-Systemen vorhanden ist, um die Behebung zu rationalisieren und das Risiko zu mindern.

Verteidigen Sie die Erkennungsfähigkeiten
Onapsis-Kunden, die das verwenden Verteidige das Modul der Onapsis-Plattform (Version 2.200.61) verfügen über eine Erkennungsfunktion zur kontinuierlichen Überwachung bösartiger Aktivitäten und zum Empfang von Alarmen, um Angriffe zu verhindern, die die RECON-Schwachstelle ausnutzen.

Führen Sie noch heute eine SAP-Cyber-Risikobewertung durch
Für SAP-Kunden, die die Onapsis-Plattform nicht nutzen, bietet Onapsis eine kostenlose Cyber-Risikobewertung an, um festzustellen, ob diese (und andere) Schwachstellen in ihren SAP-Systemen vorhanden sind.