SAP hat Updates für seine In-Memory-Plattform HANA veröffentlicht, die mehrere Schwachstellen beseitigen sollen. Der Sicherheitsdienstleister Onapsis spricht von insgesamt 21 Lücken, die sich aber teilweise nur durch eine Neukonfiguration schließen lassen. Der Großteil erlaubt Angreifern Fernzugriff ohne Authentifizierung.
Von sechs weiteren Lücken geht ein hohes Risiko und von den restlichen sieben Schwachstellen ein mittleres Risiko aus. Die Sicherheitsprobleme sind zum Teil auf die TrexNet-Schnittstellen im Kern der HANA-Software zurückzuführen. TrexNet steuert die Kommunikation zwischen Servern in Hochverfügbarkeitsumgebungen. Dadurch sind auch S/4HANA und die HANA-Cloud-Plattform betroffen.
Weil sich einige der Schwachstellen nicht durch das Einspielen von Patches beheben lassen und auch der TrexNet-Service nicht heruntergefahren werden kann, müssen die Systeme in den meisten Fällen rekonfiguriert werden. SAP gibt dazu entsprechende Sicherheitshinweise.
Parallel empfehlen die Sicherheitsspezialisten von Onapsis, zunächst die TrexNet-Kommunikation korrekt zu konfigurieren. Sie müsse über Netzwerke stattfinden, die von Endanwendern isoliert sind und auf die von keinem anderen Netzwerk aus zugegriffen werden kann. Auf der Transportebene sei zudem eine Verschlüsselung und Authentifizierung erforderlich. Wenn lediglich eine SAP-HANA-Instanz eingerichtet sei, dürften alle TrexNet-Schnittstellen nur mit der Localhost-Netzwerkschnittstelle kommunizieren.
Darüber hinaus sollte der HTTP-Datenverkehr auf ungewöhnliche Aktivitäten überprüft werden, weil einige der kritischen Sicherheitslücken von legitimierten Anwendern und Hackern ausgenutzt werden können, um sich mit den verwundbaren Komponenten zu verbinden (SQL und HTTP). Unternehmen rät Onapsis außerdem dazu, über SIEM- oder GRC-Tools eine umfassende Informations-Sicherheitsstrategie zu gewährleisten.
Onapsis arbeitet eng mit SAP zusammen, um Patches für Lecks zu veröffentlichen, bevor diese einer breiteren Öffentlichkeit bekannt und aktiv ausgenutzt werden. Über die genannten Schwachstellen hatte der Sicherheitsanbieter den Walldorfer Softwarekonzern bereits im Februar informiert.
[mit Material von Martin Schindler, silicon.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…
Die Vorfreude steigt, denn BAUMLINK wird als Partner und Aussteller bei der Tech Show 2024…
Nutzung einer unternehmenseigenen GPT-Umgebung für sicheren und datenschutzkonformen Zugriff.
Der Umsatz steigt um 15 Prozent, der Nettogewinn um 57 Prozent. Im nachbörslichen Handel kassiert…
Aus 61,9 Milliarden Dollar generiert das Unternehmen einen Nettoprofit von 21,9 Milliarden Dollar. Das größte…
Mehr Digitalisierung wird von den Unternehmen gefordert. Für KMU ist die Umsetzung jedoch nicht trivial,…