Das zum US-Heimatschutzministerium gehörende Computer Emergency Readiness Team (CERT) warnt vor Angriffen auf eine rund sechs Jahre alte Sicherheitslücke in Business-Software von SAP. Der Fehler steckt in einer Invoker Servlet genannten Funktion des SAP NetWeaver Application Server Java System, die bereits 2010 gepatcht wurde. Laut CERT sind veraltete und falsch konfigurierte SAP-Systeme aber weiterhin angreifbar.
Angreifbar sind der Warnmeldung zufolge Business-Anwendungen, die auf der SAP-Java-Plattform laufen. Da die SAP-Anwendungsschicht anfällig sei, trete der Fehler unabhängig vom verwendeten Betriebssystem und der Datenbank-Applikation auf, die das SAP-System unterstütze. Ein Angreifer erhalte unter Umständen aus der Ferne und ohne Authentifizierung vollständigen Zugriff auf die betroffenen SAP-Plattformen, was ihm eine vollständige Kontrolle der Geschäftsinformationen und –prozesse auf diesem System erlaube.
Die Sicherheitswarnung des CERT enthält auch eine Liste mit SAP-Anwendungen, die auf der SAP-Java-Plattform aufbauen. Dazu gehören SAP Enterprise Resource Planning, SAP Product Lifecycle Management, SAP Customer Relationship Management, SAP Supply Chain Management und SAP Business Intelligence.
Betroffene Unternehmen sollten die SAP Security Note 1445998 umsetzen und das Invoker Servlet deaktivieren. Weitere Details liefert der Forschungsbericht von Onapsis. Demnach benötigt ein Hacker lediglich einen Browser sowie Domain, Hostname und IP-Adresse des anzugreifenden SAP-Systems. Die Liste der 36 angreifbaren Firmen soll schon seit 2013 in einem in China registrierten Internetforum kursieren.
Die neuen HPE-Server der Generation 10 bieten einen erweiterten Schutz vor Cyberangriffen. Erfahren Sie in unserem Webinar, warum HPE-Server die sichersten Industrie-Standard-Server der Welt sind und wie Sie ihr Unternehmen zu mehr Agilität verhelfen. Jetzt registrieren und Aufzeichnung ansehen.
Die betroffenen Firmen befinden sich oder gehören zu Konzernen aus China, Deutschland, Großbritannien, Indien, Japan, Südkorea und den USA. Darunter sind Telekommunikationsanbieter, Kraftwerke, Einzelhändler, Stahl- sowie Öl- und Gaskonzerne. Onapsis zufolge wurden sie bereits in Zusammenarbeit mit dem US-CERT über die mögliche Bedrohung informiert.
Ein Sprecher des Walldorfer Softwarehauses betonte, dass das Invoker Servlet bereits 2010 durch einen Patch deaktiviert wurde. „Alle seitdem veröffentlichen SAP-Anwendungen sind frei von dieser Anfälligkeit.“ Da derartige Konfigurationsänderungen Probleme mit kundeneigener Software verursachten, sei die Funktion in Releases von SAP NetWeaver vor Version 7.20 nicht deaktiviert worden.
[mit Material von Zack Whittaker, ZDNet.com]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Fast acht Milliarden Euro fließen in die deutsche Region der AWS European Sovereign Cloud. Das…
Im Rahmen der umfassenden Digitalisierung der Bundeswehr ersetzen Electronic Knee Boards die herkömmlichen Handbücher von…
Sie betreffen Windows 10, 11 und Windows Server. In SharePoint Server steckt zudem eine kritische…
Mozilla verteilt insgesamt 16 Patches für Firefox 125 und älter. Zudem entfernt der Browser nun…
Einziger Neueinsteiger ist das Alps-System in der Schweiz. Die weiteren Top-Ten-Systeme aus Europa stehen in…
Im vergangenen Jahr steigt ihre Zahl um 32 Prozent. Die Zahl der betroffenen PC-Nutzer sinkt…
