Diese SAP-Schwachstellen nutzen Cybergangster

Eine Studie, die der Sicherheitsanbieters Onapsis im vergangenen Jahr in Zusammenarbeit mit SAPSAP durchgeführt hat, zeigt, dass Cyberangreifer kontinuierlich auf SAP-Schwachstellen abzielen. Das gilt vor allem für das SAP ERP (Enterprise-Resource-Planning)-System ERP, SAP SCM (Supply Chain Management), SAP PLM (Product Lifecycle Management) und SAP CRM (Customer Relationship Management). Alles zu SAP auf CIO.de

Der Studie zufolge haben Angreifer oft schon 24 Stunden nach der ersten Veröffentlichung einen Proof-of-Concept-Code für neu bekannt gewordene Schwachstellen, und funktionsfähigen Exploits in weniger als drei Tagen. Onapsis beobachtete sogar, dass Angreifer brandneue, in der Cloud gehostete SAP-Systeme in nur drei Stunden fanden und angriffen.

Dennoch lassen viele Unternehmen ihre SAP-Anwendungen weiterhin ungepatcht oder versäumen es monatelang - manchmal sogar jahrelang-, die empfohlenen Updates einzuspielen, weil sie sich Sorgen über Betriebsunterbrechungen und Anwendungsausfälle machen. Ein Bericht des Security-Anbieters Pathlock offenbart, dass viele Unternehmen Dutzende oder sogar Hunderte von SAP-Systemen im Einsatz haben. Dadurch sei das Patchen schwierig und zeitaufwändig, vor allem, weil viele versuchen würden, Unterbrechungen und App-Ausfälle zu vermeiden, heißt es.

So geben 47 Prozent der Befragten an, dass sie das Patchen als ihre größte Herausforderung einstuften, noch vor der Erkennung von Bedrohungen. Darüber hinaus wurde die Sicherheit des benutzerdefinierten Codes von 40 Prozent der Befragten als das zweitgrößte Problem genannt.

"Bei einer Gesamtzahl von 1.143 bekannten SAP-Schwachstellen fällt es Unternehmen nach wie vor schwer, Prioritäten zu setzen, welche davon das größte Risiko für ihre spezifische Umgebung darstellen", erklärt Piyush Pandey, CEO von Pathlock. Nach Meinung des Experten muss hier ein Umdenken stattfinden, "um die Risikostufen zu berücksichtigen, die eine sofortige Abschwächung der dringendsten Bedrohungen ermöglichen."

Dieser Trend hat dazu geführt, dass viele Unternehmen Angriffen ausgesetzt sind, die zu Datendiebstahl, Finanzbetrug, Ausfällen geschäftskritischer Anwendungen, Systemausfällen und anderen negativen Folgen führen können. "SAP-Systeme sind lohnende Ziele für HackerHacker, da sie das Herzstück geschäftskritischer Abläufe sind und große Mengen sensibler und vertraulicher Daten enthalten", betont Saeed Abbasi, Principal SecuritySecurity Engineer bei Qualys. "Erfolgreiche Angriffe können verheerende Auswirkungen und Unterbrechungen zur Folge haben." Alles zu Hacker auf CIO.de Alles zu Security auf CIO.de

Hier finden Sie die häufigsten Sicherheitslücken in SAP-Anwendungsumgebungen.

Ungepatchte SAP-Sicherheitslücken

Wie alle Softwarehersteller veröffentlicht auch SAP regelmäßig Updates, um neue Schwachstellen und andere Sicherheitsrisiken in seinen Anwendungen zu beheben. In diesem Jahr hat SAP bisher 196 SAP-Sicherheitshinweise veröffentlicht, die solche Updates enthalten- elf mehr als im gesamten Vorjahr. Das sind bereits mehr als die insgesamt 185, die das Unternehmen im vergangenen Jahr veröffentlicht hat. Zumindest ein Teil des Anstiegs scheint mit einer größeren Anzahl von Patches zu tun zu haben, die SAP im Januar aufgrund der Log4Shell-Schwachstelle im Apache Log4j Logging Framework herausgeben musste.

"Viele dieser Schwachstellen sind kritisch und ermöglichen es Angreifern zum Beispiel auf Anwendungs- oder Betriebssystemebene zu zugreifen, Privilegien zu erweitern oder systemübergreifende Kompromisse auszuführen", so die SAP-Studie.

"Öffnen Sie einfach eine beliebige Schwachstellendatenbank und Sie werden mehr als 50 aktuelle SAP-Sicherheitslücken mit einem CVSS-Score von mehr als 9 finden", sagt Ivan Mans, CTO und Mitbegründer von SecurityBridge. In diesem Jahr gab es bisher 17 kritische SAP-Hinweise mit einem Schweregrad von mehr als 9,8, was nahe an der maximalen Bewertung von 10 liegt, so der Security-Experte. "Was wir im vergangenen Jahr noch für sicher hielten, ist heute vielleicht nicht mehr sicher".

Onapsis und SAP haben sechs Schwachstellen gefunden, auf die es Angreifer in den letzten Jahren besonders abgesehen haben: CVE-2020-6287; CVE-2020-6207, CVE-2018-2380, CVE-2016-9563, CVE-2016-3976 und CVE-2010-5326. Für alle gibt es öffentlich verfügbare Exploits, in der Regel auf GitHub.

Laut JP Perez-Etchegoyen, CTO von Onapsis, sind davon die folgende beiden Lücken besonders kritisch: CVE-2020-6287 und CVE-2010-5326. Eine weiterer Bug, den er als sehr kritisch einstuft, wurde von SAP in diesem Jahr bekannt gegeben: CVE-2022-22536.

CVE-2020-6287, auch bekannt als RECON, ist eine kritische Schwachstelle in SAP NetWeaver Application Server Java. Diese ermöglicht es einem entfernten, nicht authentifizierten Angreifer, die vollständige Kontrolle über betroffene SAP-Anwendungen zu übernehmen. Vor der Bedrohung, die von dieser Schwachstelle ausgeht, warnte auch die US-Sicherheitsbehörde CISA. Über diese Lücke hätten Angreifer unter anderem ein Administratorkonto mit den höchsten Privilegien erstellen können.

CVE-2010-5326 ist eine Sicherheitslücke in der Invoker-Servlet-Funktion in SAP NetWeaver Application Server, die erstmals 2010 bekannt gegeben (und gepatcht) wurde. Die Schwachstelle ermöglicht es nicht authentifizierten Bedrohungsakteuren, Befehle auf Betriebssystemebene auszuführen und Anwendungen und die zugrunde liegende Datenbank zu übernehmen. SAP hat die Schwachstelle im Jahr 2010 gepatcht, aber die Lücke wird auch heute noch angegriffen , da viele Systeme nicht gegen die Bedrohung gepatcht sind.

CVE-2022-22536 oder die ICMAD-Schwachstelle ist eine kritische Sicherheitslücke in SAP NetWeaver Application Server ABAP, SAP NetWeaver Application Server Java und anderen Produkten. Sie ermöglicht es einem nicht authentifizierten Angreifer, die betroffenen Systeme vollständig zu übernehmen.

CVE-2018-2380 ist eine mittelschwere unzureichende Validierungsschwachstelle in mehreren SAP-CRM-Versionen, die Angreifer aktiv nutzen, um SAP-Web-Shells für OS-Befehlsinjektionen zu nutzen.

CVE-2020-6207 ist eine Schwachstelle im Zusammenhang mit der Authentifizierung, die Angreifer für systemübergreifende Kompromittierungen nutzen.

CVE-2016-9563 ist eine Sicherheitslücke aus dem Jahr 2016, die eine Komponente von SAP NetWeaver AS JAVA 7.5 betrifft. Es handelt sich um eine der Schwachstellen, die Angreifer mit der RECON-Schwachstelle koppeln, um ihre Rechte auf dem Betriebssystem von SAP-Servern zu erweitern.

CVE-2016-3976 ist eine Directory Traversal-Schwachstelle in SAP NetWeaver AS Java 7.1 bis 7.5, die Angreifer unter anderem nutzen, um Anmeldedaten von SAP NetWeaver-Servern zu exfiltrieren.

"Eine gute Möglichkeit, die kritischsten Schwachstellen zu verstehen, besteht darin, sie nicht nur anhand der Metrik des Common Vulnerability Scoring System zu messen, sondern auch daran, wie stark sie ausgenutzt werden", so der CTO von Onapsis. Zu diesem Zweck empfiehlt er Unternehmen, den CISA-Katalog für bekannte und ausgenutzte Sicherheitslücken zu verfolgen. Derzeit sind zehn SAP-Schwachstelle in diesem Katalog enthalten.

SAP-Konfigurationsfehler

Die zahlreichen Möglichkeiten, wie SAP-Anwendungseinstellungen konfiguriert und geändert werden können, führen oft dazu, dass Unternehmen ihre SAP-Umgebungen auf eine anfällige Weise einrichten. Der Unterschied zwischen Sicherheitsproblemen im Zusammenhang mit einem Patch und einer Konfiguration besteht darin, dass das Risiko in den meisten Fällen beseitigt ist, wenn ein Patch aufgespielt wurde, sagt Perez-Etchegoyen. Konfigurationen hingegen würden sich ständig ändern.

Zu den häufigsten SAP-Konfigurationsproblemen gehören schlecht konfigurierte Zugriffskontrolllisten (ACLs). Hinzu kommt, dass oft schwache, standardmäßige oder bekannte Kombinationen aus Benutzernamen und Passwort verwendet werden.

Mans von SecurityBridge weist auch auf Probleme mit veralteten oder schlecht konfigurierten SAPRouter-, SAP Web Dispatcher-, Internet Communication Manager- und SAP Gateway-Technologien hin. Weitere konfigurationsbezogene Probleme sind öffentlich zugängliche Dienste, auf die ohne Authentifizierung zugegriffen werden kann, ungeschützter oder unzureichend gesicherter Zugriff auf Verwaltungsdienste und unverschlüsselte Kommunikation.

Die SAP-Studie hat gezeigt, dass viele Unternehmen SAP-Anwendungen einsetzen, bei denen hochprivilegierte Konten mit Standardpasswörtern oder schwachen Passwörtern konfiguriert sind. Dabei stellt , obwohl SAPselbst detaillierte Anleitungen zum Schutz des Zugriffs auf privilegierte Konten bereitgestellt hat. Die Ergebnisse offenbarten zudem, dass Angreifer häufig Brute-Force-Angriffe nutzen, um in SAP*-, SAPCPIC-, TMSADM- und CTB_ADMIN-Konten einzudringen.

Eine Reihe von Exploits, die 2019 unter dem Namen 10KBlaze veröffentlicht wurden, verdeutlichten das Risiko, dem Unternehmen durch unsichere Konfigurationen ausgesetzt sind. Die Exploits zielten auf häufige Fehlkonfigurationen in SAP Gateway und SAP Message Server ab und setzten schätzungsweise 90 Prozent der SAP-Anwendungen in mehr als 50.000 Unternehmen weltweit dem Risiko einer vollständigen Kompromittierung aus.

Schwachstellen in benutzerdefiniertem SAP-Code

Viele Unternehmen entwickeln routinemäßig umfangreichen benutzerdefinierten Code für ihre SAP-Anwendungen, um diese anzupassen oder um Compliance-Anforderungen und andere Gründe zu erfüllen. "Unternehmen passen SAP oft an, um spezifische Geschäftsanforderungen zu erfüllen", sagt Pandey von Pathlock. "Beispiele dafür sind benutzerdefinierte Layouts und Tabellen." Dieser benutzerdefinierte Code sollte regelmäßig auf Schwachstellen überprüft werden, die das SAP-System einem Angriff oder Missbrauch aussetzen könnten, empfiehlt der Experte.

Perez-Etchegoyen nennt als einige der kritischsten Schwachstellen Injektionsfehler in ABAP-Befehlen, OS-Befehlen und dem OSQL-Dienstprogramm, da diese eine vollständige Systemkompromittierung implizieren. "Es gibt noch viele andere Schwachstellen, die missbraucht werden könnten, um erhebliche Auswirkungen auf das Unternehmen zu verursachen, aber im Allgemeinen führen die Injektionsfehler zu kritischeren Auswirkungen", sagt er.

SAP identifiziert auch einige andere Probleme, die sich in benutzerdefinierten Code einschleichen und SAP-Anwendungen gefährden können. Dazu gehören potenzielle URL-Redirect-Probleme, fehlende Inhaltsprüfung bei HTTP-Uploads, Lesezugriff auf sensible und Schreibzugriff auf sensible Daten in Datenbanken.

Ein weiteres Problem sind Schwachstellen in Open-Source-Code und Code von Drittanbietern, die ein Entwicklungsteam beim Schreiben von benutzerdefiniertem Code verwenden könnte. Als ein Beispiel verweist Mans auf die Log4Shell-Schwachstelle in Log4j. "Auch wenn es sich nicht unmittelbar um eine SAP-Sicherheitslücke handelt, können SAP-Anwendungen oder benutzerdefinierte Anwendungen, die auf SAP laufen, betroffen sein und ein Update erfordern", sagt er.

Externe und interne Risiken

"Sicherheitslücken in SAP-Anwendungen können viele Formen", fasst Pandey zusammen. "Sie treten auf der Anbieterseite auf, aber es liegt auch in der Verantwortung des Kunden selbst, sicherzustellen, dass er die Bereitstellung so konfiguriert und angepasst hat, dass die Sicherheit gewährleistet ist.", führt der Pathlock-Chef aus.

Unternehmen müssen verstehen, dass Risiken für die SAP-Umgebung sowohl von externen Akteuren als auch von Insidern ausgehen können, ergänzt Perez-Etchegoyen. "Es gibt mehrere kritische Risiken in jedem Bereich, und der Hauptunterschied zwischen ihnen besteht darin, dass die Schwachstellen in der Software sowie den Konfigurationen bekannt sind und derzeit von externen Bedrohungsakteuren genutzt werden, um SAP-Anwendungen zu kompromittieren."

"Auf der anderen Seite sind Schwachstellen im benutzerdefinierten Code zwar überkritisch und treten in weitaus größerem Umfang auf als die beiden anderen Bereiche", warnt Perez-Etchegoven.,Es handle sich dabei sind aber typischerweise um ein Risiko, das stärker durch Insider-Bedrohungen gefährdet ist, da sie oft mit einem Benutzer und einem bestimmten Zugriffsniveau ausgenutzt werden können.", warnt Perez-Etchegoven. (jm)

Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation CSO Online.