SAP hat Updates für seine In-Memory-Plattform HANA veröffentlicht, die mehrere Schwachstellen beseitigen sollen. Der Sicherheitsdienstleister Onapsis spricht von insgesamt 21 Lücken, die sich aber teilweise nur durch eine Neukonfiguration schließen lassen. Der Großteil erlaubt Angreifern Fernzugriff ohne Authentifizierung.
Von sechs weiteren Lücken geht ein hohes Risiko und von den restlichen sieben Schwachstellen ein mittleres Risiko aus. Die Sicherheitsprobleme sind zum Teil auf die TrexNet-Schnittstellen im Kern der HANA-Software zurückzuführen. TrexNet steuert die Kommunikation zwischen Servern in Hochverfügbarkeitsumgebungen. Dadurch sind auch S/4HANA und die HANA-Cloud-Plattform betroffen.
Weil sich einige der Schwachstellen nicht durch das Einspielen von Patches beheben lassen und auch der TrexNet-Service nicht heruntergefahren werden kann, müssen die Systeme in den meisten Fällen rekonfiguriert werden. SAP gibt dazu entsprechende Sicherheitshinweise.
Parallel empfehlen die Sicherheitsspezialisten von Onapsis, zunächst die TrexNet-Kommunikation korrekt zu konfigurieren. Sie müsse über Netzwerke stattfinden, die von Endanwendern isoliert sind und auf die von keinem anderen Netzwerk aus zugegriffen werden kann. Auf der Transportebene sei zudem eine Verschlüsselung und Authentifizierung erforderlich. Wenn lediglich eine SAP-HANA-Instanz eingerichtet sei, dürften alle TrexNet-Schnittstellen nur mit der Localhost-Netzwerkschnittstelle kommunizieren.
Darüber hinaus sollte der HTTP-Datenverkehr auf ungewöhnliche Aktivitäten überprüft werden, weil einige der kritischen Sicherheitslücken von legitimierten Anwendern und Hackern ausgenutzt werden können, um sich mit den verwundbaren Komponenten zu verbinden (SQL und HTTP). Unternehmen rät Onapsis außerdem dazu, über SIEM- oder GRC-Tools eine umfassende Informations-Sicherheitsstrategie zu gewährleisten.
Onapsis arbeitet eng mit SAP zusammen, um Patches für Lecks zu veröffentlichen, bevor diese einer breiteren Öffentlichkeit bekannt und aktiv ausgenutzt werden. Über die genannten Schwachstellen hatte der Sicherheitsanbieter den Walldorfer Softwarekonzern bereits im Februar informiert.
[mit Material von Martin Schindler, silicon.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Die Passwort-Alternative Passkeys überholt Einmalpasswörter bei der Zwei-Faktor-Authentifizierung. Auch Microsoft setzt sich aktiv für die…
Der Anteil steigt seit 2020 um 34 Prozentpunkte. Allein 2023 erfasst Kaspersky rund 10 Millionen…
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…