SAP schließt Sicherheitslücken in In-Memory-Plattform HANA

Von den insgesamt 21 Schwachstellen lassen sich einige nur durch eine Neukonfiguration beseitigen. Die meisten erlauben Fernzugriff ohne Authentifizierung. Sechs Lecks sind als kritisch eingestuft, von den restlichen geht ein hohes oder mittleres Risiko aus.

SAP hat Updates für seine In-Memory-Plattform HANA veröffentlicht, die mehrere Schwachstellen beseitigen sollen. Der Sicherheitsdienstleister Onapsis spricht von insgesamt 21 Lücken, die sich aber teilweise nur durch eine Neukonfiguration schließen lassen. Der Großteil erlaubt Angreifern Fernzugriff ohne Authentifizierung.

SAP HANA (Bild: SAP)Betroffen sind sämtliche HANA-basierten Cloudlösungen und Anwendungen, darunter auch die neue Suite S/4HANA, die inzwischen von rund 10.000 Unternehmen eingesetzt werden. Acht Lecks stuft Onapsis als kritisch ein, von denen sich sechs nur durch Änderungen an der Konfiguration beheben lassen. Sie ermöglichen es Angreifern, die vollständige Kontrolle über das System zu übernehmen und anschließend vertrauliche Daten zu löschen, zu ändern oder zu kopieren. Zudem könnten geschäftskritische Prozesse unterbrochen werden.

Von sechs weiteren Lücken geht ein hohes Risiko und von den restlichen sieben Schwachstellen ein mittleres Risiko aus. Die Sicherheitsprobleme sind zum Teil auf die TrexNet-Schnittstellen im Kern der HANA-Software zurückzuführen. TrexNet steuert die Kommunikation zwischen Servern in Hochverfügbarkeitsumgebungen. Dadurch sind auch S/4HANA und die HANA-Cloud-Plattform betroffen.

Weil sich einige der Schwachstellen nicht durch das Einspielen von Patches beheben lassen und auch der TrexNet-Service nicht heruntergefahren werden kann, müssen die Systeme in den meisten Fällen rekonfiguriert werden. SAP gibt dazu entsprechende Sicherheitshinweise.

Parallel empfehlen die Sicherheitsspezialisten von Onapsis, zunächst die TrexNet-Kommunikation korrekt zu konfigurieren. Sie müsse über Netzwerke stattfinden, die von Endanwendern isoliert sind und auf die von keinem anderen Netzwerk aus zugegriffen werden kann. Auf der Transportebene sei zudem eine Verschlüsselung und Authentifizierung erforderlich. Wenn lediglich eine SAP-HANA-Instanz eingerichtet sei, dürften alle TrexNet-Schnittstellen nur mit der Localhost-Netzwerkschnittstelle kommunizieren.

Darüber hinaus sollte der HTTP-Datenverkehr auf ungewöhnliche Aktivitäten überprüft werden, weil einige der kritischen Sicherheitslücken von legitimierten Anwendern und Hackern ausgenutzt werden können, um sich mit den verwundbaren Komponenten zu verbinden (SQL und HTTP). Unternehmen rät Onapsis außerdem dazu, über SIEM- oder GRC-Tools eine umfassende Informations-Sicherheitsstrategie zu gewährleisten.

Onapsis arbeitet eng mit SAP zusammen, um Patches für Lecks zu veröffentlichen, bevor diese einer breiteren Öffentlichkeit bekannt und aktiv ausgenutzt werden. Über die genannten Schwachstellen hatte der Sicherheitsanbieter den Walldorfer Softwarekonzern bereits im Februar informiert.

[mit Material von Martin Schindler, silicon.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Neueste Kommentare 

Noch keine Kommentare zu SAP schließt Sicherheitslücken in In-Memory-Plattform HANA

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *