Schwere Sicherheitslücken in SAP HANA
Insgesamt 21 Lecks in SAP will der Sicherheitsdienstleister Onapsis gefunden haben. Die sollen mitunter auch die Kontrolle via Fernzugriff ermöglichen. Zum ersten Mal wird damit ein Leck mit der höchsten Gefährdungsstufe veröffentlicht.
Der auf ERP-Sicherheit spezialisierte Anbieter Onapsis veröffentlicht 21 Lecks in SAP HANA und sämtlichen HANA-basierten Applikationen. Auch die neue Suite S/4HANA sowie HANA-basierten Cloud-Lösungen sind von den Lecks betroffen. Rund 10.000 Unternehmen nutzen inzwischen Produkte auf Basis von SAP HANA.
Acht dieser Lecks werden als kritisch eingestuft. Dabei sollen sechs Lecks sich nur über die Änderung in der Systemkonfiguration beheben lassen. Über diese Lecks können Angreifer vollständig die Kontrolle über die SAP-HANA-Systeme übernehmen und damit auch wertvolle und vertrauliche Informationen entwenden, löschen oder ändern. Zudem, so warnt der Sicherheitsspezialist, könnten geschäftskritische Prozesse unterbrochen werden.
Weitere sechs Lecks sind mit hohem Risiko und sieben mit mittleren Risiko bewertet. Die Schwachstellen stehen unter anderem mit den TrexNet-Schnittstellen im Kern der HANA-Software im Zusammenhang. TrexNet steuert die Kommunikation zwischen Servern in Hochverfügbarkeitsumgebungen. Dadurch sind auch S/4HANA und auch die SAP HANA Cloud-Plattform von den Sicherheitsproblemen betroffen.
Weil sich einige dieser Schwachstellen sich nicht durch das Einspielen von Patches beheben lassen und auch der TrexNet-Service nicht heruntergefahren werden kann, müssen die Systeme in den meisten Fällen rekonfiguriert werden. Von SAP gibt es entsprechende Sicherheitshinweise.
Parallel dazu empfehlen die Sicherheitsspezialisten von Onapsis, zunächst die TrexNet-Kommunikation korrekt zu konfigurieren. Die Kommunikation über diese Schnittstellen müsse über Netzwerke stattfinden, die von Endanwendern isoliert sind und auf die von keinem anderen Netzwerk aus zugegriffen werden kann. Auf der Transportebene müsse zudem eine Verschlüsselung wie auch eine Authentifizierung installiert sein. Wenn nur eine SAP HANA-Instanz eingerichtet ist, dürfen alle TrexNet-Schnittstellen nur mit der Localhost-Netzwerkschnittstelle kommunizieren.
Einige der kritischen Sicherheitslücken können zudem von legitimierten Anwendern und Hackern ausgenutzt werden, die versuchen, sich mit den verwundbaren Komponenten zu verbinden (SQL und HTTP). Daher sollte der HTTP-Datenverkehr auf ungewöhnliche Aktivitäten überprüft werden. Zudem sollte Unternehmen über SIEM- oder GRC-Tools eine umfassende Informations-Sicherheitsstrategie sicherstellen.
Onapsis arbeitet eng mit SAP zusammen, um Patches für Lecks zu veröffentlichen, bevor diese einer breiteren Öffentlichkeit bekannt werden und gegen Anwender genutzt werden. Nachdem SAP im Februar über diese Lecks informiert wurde, hat der Software-Hersteller jetzt Fixes für die Sicherheitslecks veröffentlicht.
“Die nächste große Angriffswelle zielt auf geschäftswichtige Anwendungen auf der Basis von SAP und Oracle – für Cyber-Kriminelle sind dies die ultimativen Angriffsziele. Gleichzeitig sind es derzeit die größten Unbekannten für viele Chief Information Security Officer (CISO). SAP-bezogene Datenpanne stehen aber mehr und mehr im Fokus der Öffentlichkeit, wie die veröffentlichte Datenpanne rund um das USIS zeigt, einen Anbieter von Recherchen für DHS und OPM”, kommentiert Mariano Nunez, CEO von Onapsis.