SAP warnt vor Sicherheitslücken

Forscher von Onapsis und SAP haben davor gewarnt, dass kritische Schwachstellen in ungepatchten SAP-Anwendungen von Cyber-Angreifern weltweit ausgenutzt werden. Beide Unternehmen veröffentlichten gemeinsam einen Bericht über die Aktivitäten, bei denen Sicherheitslücken mit CVSS-Severity-Scores von bis zu 10, der höchstmöglichen Stufe, als Waffe eingesetzt werden.

SAP-Anwendungen werden von schätzungsweise 400.000 Unternehmen weltweit eingesetzt. Während SAP keine direkten kundenbezogenen Verstöße aufgrund dieser Aktivitäten bekannt sind, wurde festgestellt, dass es mindestens 1.500 SAP-Anwendungsbezogene Angriffsversuche gab, die zwischen Juni 2020 und März 2021 verfolgt wurden, von denen mindestens 300 erfolgreich waren. Der gemeinsame Bericht besagt, dass unter anderem Enterprise-Resource-Planning-, Customer-Relationship-Management-Software und Supply-Chain-Systeme ins Visier genommen werden.

Die kritischen Schwachstellen, die ausgenutzt werden, werden nach Angaben der Unternehmen jedoch nur unzureichend geschlossem. In einigen Fällen sind anfällige SAP-Anwendungen mit Fehlern behaftet, die seit Monaten oder sogar Jahren ungepatched bleiben.

Insbesondere sechs Sicherheitslücken werden in dem Bericht als aktiv ausgenutzt bezeichnet:

CVE-2020-6287: CVSS: 10

Auch als RECON bekannt, wurde dieser per Fernzugriff ausnutzbare Fehler in SAP NetWeaver/Java durch eine fehlgeschlagene Authentifizierungsprüfung verursacht. Es sind keine Privilegien erforderlich, und bei Ausnutzung führt diese Schwachstelle zur Erstellung von Administratorkonten und zum vollständigen System-Hijacking.

Ein Patch wurde am 14. Juli 2020 veröffentlicht, aber Onapsis sagt, dass die Angriffsaktivitäten, die diesen Fehler ausnutzen, bis heute andauern.

CVE-2020-6207: CVSS 10

Dieser kritische Fehler, der SAP Solution Manager (SolMan) Version 7.2 betrifft, ermöglicht es Angreifern, die volle administrative Kontrolle über den Hub der SAP-Installation eines Unternehmens zu erlangen.

Proof-of-Concept (PoC) Code wurde für die Sicherheitslücke veröffentlicht, nachdem SAP am 10. März 2020 einen Patch veröffentlicht hatte. Exploit-Versuche haben seit der Veröffentlichung des funktionierenden PoC-Exploit-Codes „signifikant zugenommen“.

CVE-2018-2380: CVSS 6.6

Diese ältere Schwachstelle betrifft die SAP NetWeaver-basierte CRM-Lösung des Anbieters und kann zur Privilegienerweiterung und zum Ausführen von Befehlen genutzt werden, was unter Umständen eine laterale Bewegung durch ein Unternehmensnetzwerk ermöglicht. Ein Patch wurde am 1. März 2018 veröffentlicht.

CVE-2016-9563: CVSS 6.4

Diese im August 2016 gepatchte Schwachstelle betrifft eine Komponente in SAP NetWeaver/JAVA Version 7.5 und führt zu Remote-, aber Low-Privilege-authentifizierten Angriffen.

CVE-2016-3976: CVSS 7.5

Diese ebenfalls in SAP NetWeaver/JAVA gefundene Sicherheitslücke, die im März 2016 gepatcht wurde, ermöglicht entfernten Angreifern das Lesen beliebiger Dateien über Verzeichnis-Traversal-Sequenzen, was zu Informationslecks und möglicherweise zu einer Privilegienerweiterung führt, wenn sie auf die richtigen Ressourcen zugreifen können.

CVE-2010-5326: CVSS 10

Eine kritische Sicherheitslücke, die durch einen Authentifizierungsfehler im Invoker Servlet innerhalb von SAP NetWeaver Application Server/JAVA-Plattformen verursacht wird. Die Sicherheitslücke ermöglicht es Angreifern, die volle Kontrolle über SAP-Geschäftsprozesse zu erlangen. Im Jahr 2016 gab das US Department of Homeland Security (DHS) eine Warnung über die aktive Ausnutzung dieses Fehlers heraus, die bis heute anhält.

Darüber hinaus heißt es in dem Bericht, dass das Zeitfenster für das Patchen „deutlich kleiner ist als bisher angenommen“, wobei einige SAP-Schwachstellen in weniger als 72 Stunden nach der öffentlichen Bekanntgabe zur Waffe werden.

„Eine beobachtete Ausnutzung könnte in vielen Fällen zur vollständigen Kontrolle über die ungesicherte SAP-Anwendung führen, gängige Sicherheits- und Compliance-Kontrollen umgehen und es Angreifern ermöglichen, sensible Informationen zu stehlen, finanziellen Betrug zu begehen oder geschäftskritische Prozesse zu stören, indem sie Ransomware einsetzen oder den Betrieb stoppen“, so die Unternehmen. „Diese Bedrohungen können auch Auswirkungen auf die Einhaltung gesetzlicher Vorschriften für Unternehmen haben, die ihre SAP-Anwendungen, die regulierte Daten verarbeiten, nicht richtig abgesichert haben.“

ANZEIGE

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

Jakob Jung

Recent Posts

ESA Mars Express verabschiedet sich von Windows 98

Eine der kostengünstigsten und erfolgreichsten Missionen der Europäischen Weltraumorganisation ESA, Mars Express, erhält nach fast…

1 Tag ago

Erste Schritte mit Threat Hunting

Bedrohungen proaktiv abwehren ist besser als bloßes Reagieren. Wir geben Ihnen eine praktische Anleitung zur…

1 Tag ago

CNAPP als Multifunktionstool der Cloud-Sicherheit

Eine Cloud Native Application ProtectionPlattform (CNAPP) umfasst eine Suite von Security-Tools, die sowohl Sicherheit als…

2 Tagen ago

Schwachstellen in Programmierschnittstellen

Weltweit sind 4,1 bis 7,5 Prozent der Cybersecurity-Vorfälle und -schäden auf Schwachstellen in Programmierschnittstellen (Application…

2 Tagen ago

Mit Ransomware von Spionage ablenken

Vom chinesischen Geheimdienst unterstützte Hacker verbreiten Ransomware als Ablenkung, um ihre Cyberspionage zu verbergen. Fünf…

2 Tagen ago

PowerShell nicht blockieren, aber richtig konfigurieren

PowerShell wird oft von Angreifern missbraucht, aber Verteidiger sollten das Windows-Befehlszeilentool nicht abschalten, warnen angelsächsische…

2 Tagen ago