Swapan - Fotolia

Sicherheitslücke in SAP-Systemen – Update häufig nicht installiert

Das US-CERT warnt vor einer Sicherheitslücke in SAP-Systemen, die bereits seit Jahren besteht. Das Problem sind nicht gepatchte Systeme.

Im Mai 2016 hat das US-CERT, eine der höchsten Instanzen für IT-Sicherheit im US-Government, eine Warnung vor einer Lücke in SAP-Implementierungen veröffentlicht. Diese Sicherheitslücke hilft, die Authentifizierung für Invoke-Servlets zu umgehen. Sie ist immer noch weit verbreitet, obwohl seit sechs Jahren ein Patch von SAP zur Verfügung steht. Mangelndes Patching und Missbrauch von Accounts erweisen sich wieder als Hauptprobleme der SAP-Sicherheit. 

Konkrete Belege für das Ausmaß der Bedrohung bietet die Einzelfallstudie der Onapsis Research Labs vom Mai 2016 über den Missbrauch nicht aktualisierter oder fehlkonfigurierter SAP-NetWeaver-Applikationen. Im Frühjahr 2016 bestand die Lücke und Hinweise auf deren Ausnutzung bei 36 global agierenden Unternehmen in den USA, Großbritannien, Deutschland, China, Indien, Japan und Südkorea – unter anderen aus den Bereichen Öl und Gas, Telekommunikation, Einzelhandel, Life Science, in der Automobilindustrie, sowie im Bereich Bildung und Behörden. 13 Unternehmen generieren jeweils einen Umsatz von mehr als 13 Milliarden Dollar im Jahr. Die Invoker-Servlet-Schwachstelle kann die vollständige unautorisierte Steuerung betroffener SAP-Systeme ermöglichen.

Patch-Lücken

Mangelnde Patching-Disziplin stellt in der SAP-Welt, wie auch in der sonstigen IT, eines der wichtigsten  Sicherheitsprobleme dar.  Doch die Problematik ist bei komplexen SAP-Infrastrukturen besonders hoch. Ressourcen für ein kontinuierliches Updating fehlen meist. Wer Updates ohne vorherige Analyse der bestehenden Systeme und davon abhängenden Geschäftsprozessen einspielt, schafft unter Umständen neue Risiken oder gefährdet die Verfügbarkeit von Anwendungen.

Daher schrecken viele Verantwortliche vor sicherheitsrelevanten Aktualisierungen zurück und konzentrieren sich nur auf technische Verbesserungen. In der Folge vergeht zwischen dem Entdecken einer neuen Schwachstelle und ihrer Schließung durch ein einschlägiges Update viel Zeit – nach unserer Einschätzung im Schnitt bis zu 18 Monate.

Identitätsprobleme

Das Invoke-Servlet-Beispiel belegt auch die Bedeutung von Authentifikationsmechanismen und privilegierter Accounts. In diesem Fall ermöglicht eine Fehlkonfiguration den direkten Zugriff auf das Invoke-Servlet, ohne irgendeine Authentifizierung einzugeben. Servlets, die in Java Anfragen von Clients entgegennehmen und beantworten, werden zu einem Eingangstor für den Zugriff auf Unternehmensportale und ermöglichen so auch betrügerische Angriffe auf unternehmenskritische Informationen und Prozesse.

Böswillige Angreifer umgehen aber nicht nur Authentifizierungsmethoden. Viel häufiger erlangen sie die Kontrolle über bestehende Accounts. Dazu bedarf es nicht unbedingt aufwändiger, langfristiger und gezielter Spear-Phishing-Attacken. Es genügt eine nachlässige Verwaltung oder auch das schlichte Vergessen technischer, oft mit weitgehenden Privilegien versehener Accounts, die in Test- und Entwicklungssystemen automatisch angelegt werden. Diese sind oft lediglich mit dem Default-Passwort geschützt und bieten deshalb ein leichtes Angriffsziel. Mit Pivoting-Angriffen gelangen Angreifer über diese schlecht gesicherten Systeme auch in die unternehmenskritischen Produktivsysteme.

„Böswillige Angreifer umgehen nicht nur Authentifizierungsmethoden. Viel häufiger erlangen sie die Kontrolle über bestehende Accounts.“

Mariano Nunez, Onapsis

Klassische SAP-Sicherheitsansätze wie zum Beispiel Segregation of Duties greifen leider zu kurz, um sich vor Angriffen durch Missbrauch von Accounts zu schützen: Die Trennung der Kompetenz, einen Zulieferer anzulegen, ihm einen Auftrag zu erteilen und anschließend die fällige Rechnungen zu überweisen, wird aufgehoben, wenn Betrüger im Besitz eines entsprechend privilegierten Accounts sind oder Rechte erweitern. Wer sich unberechtigt einen SAP_All-User-Account anlegt, kann alle Kompetenzeinschränkungen für sich aushebeln. Da ein illegal angelegter Account dann auch nicht registriert ist, erkennen ihn reguläre Audits auch nicht.

Fehlendes Patching oder Lücken in der Authentifizierung gehören zu den wichtigsten Angriffsmethoden für jeden Hacker. Wichtig ist daher eine Inventarisierung der daraus entstehenden Lücken. Ein automatisiertes und kontinuierliches Scannen nach Schwachstellen erkennt nicht-upgedatete Systeme oder Accounts mit gefährlichen Privilegien sofort. Zudem überwacht sie anormale Aktivitäten – wie etwa plötzlich auftretende regelmäßige Anfragen eines Entwicklers in der Buchhaltung oder aus dem Ausland oder während des Urlaubs des tatsächlichen Nutzers. Ein solches Verhalten deutet auf die Kompromittierung eines Accounts hin.

Über den Autor:
Mariano Nunez ist CEO und Mitgründer von Onapsis.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Artikel wurde zuletzt im Juni 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Vulnerability-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close