Veraltete SAP-Systeme im Visier der Hacker

Laut dem ERP-Sicherheitsspezialisten ERPScan sind das die häufigsten Verwundbarkeiten von SAP-Systemen. Quelle: ERPScan

Zahlreiche Bedrohungen ergeben sich aus der Tatsache, dass tausende SAP-Server und Systeme mit Zugang zum Internet nicht auf aktuellem Stand sind. Teilweise wurden diese seit mehr als sieben Jahren nicht entsprechend gepflegt. In einer aktuellen Untersuchung hat der Sicherheitsspezialist Alexander Polyakov, CTO des auf ERP-Sicherheit spezialisierten Unternehmens ERPScan, tausender solcher Systeme im Web gefunden.

Datendiebstahl und hochentwickelte Attacken sind damit auf solche Systeme möglich. Über solche veralteten SAP-Version geben Unternehmen Angreifern die Möglichkeit nicht nur auf die SAP-Systeme zuzugreifen, sondern auch auf andere, angeschlossene Anwendungen. Diese reichen von einem Human Ressource Management bis hin zu industriellen Kontrollsystemen. Der potentielle Schaden ist also immens.

Wie Polyakov bei einer Präsentation auf der RSA Conference Asia Pacific erklärte, entwickle sich derzeit ein schwunghafter Handel im virtuellen Untergrund bei dem Informationen zu solchen Schwachstellen verkauft werden. Und solche SAP-Installationen sind für Angreifer natürlich lohnende Ziele. In den vergangenen Monaten wuchs daher auch das Interesse der Sicherheitsexperten an Schwachstellen rund um SAP. Indem SAP die Systeme für unternehmensübergreifende Zugriffe immer weiter öffnet – etwa über SAP XI – , steigt natürlich damit auch das Risiko für einen Angriff.

Im Rahmen seiner Untersuchung hat Polyakov mehr als 4000 Server gefunden, auf denen öffentliche SAP-Systeme gehostet werden. Immerhin 35 Prozent dieser Server liefen mit NetWeaver 7 EHP O. Diese Version ist 2005 nicht mehr aktualisiert worden. 19 Prozent der gefundenen Systeme wurden 2008 zum letzten Mal aktualisiert und 23 Prozent wurden im Jahr 2012 zum letzten Mal gepflegt. Die meisten dieser Server hat Polyakov über Shodan ermittelt, einer Suchmaschine für Verwundbarkeiten. Aber auch über Google sei Polyakov auf solche Systeme gestoßen.

Auch bei SAP NetWeaver J2EE-Instanzen hätte sich laut Polyakov ein ähnliches Bild gezeigt. So habe er zahlreiche Organisationen finden können, auf denen ein Angreifer sich selbst User-Accounts anlegen kann und entsprechend auch auf dem System Befehle ausführen kann.

Bei etwa fünf Prozent der Unternehmen waren im SAP Dispatcher Service, der die Client-Server-Kommunikation abdeckt, noch die Default-Accounts aktiviert. Über diesen Weg sei es jedoch möglich, ein gesamtes SAP-System lahm zu legen, warnt Polyakov.

Weniger verbreitet war ein Fehler in der SAP Management Console (MMC). Der trat nur bei jedem 40. Unternehmen auf. Noch seltener waren Unternehmen, bei denen über einen verwundbaren HostControl sich Befehle in das System einschleusen lassen. Mit HostControl erlaubt SAP ein Remote-Management von SAP-Systemen.

Darüber hinaus hat Polyakov rund 5000 Router gefunden, auf denen es keine Listen für Access Control gab. Damit könnten Angreifer sich Zugriff auf das interne Netzwerk eines Unternehmen verschaffen.

Als wichtigste Bedrohungen des Jahres 2012 für SAP-Systeme nennt Polyakov in seiner Präsentation: Den Zugriff auf Dateien im SAP Datei-System über ein Leck in SAP NetWeaver DilbertMsg servlet SSRF. Das bereits erwähnte Leck in Host Control, ein Leck in SAP J2EE Core Services, über das beliebiger Dateizugriff möglich ist, sowie ein Buffer Overflow im SAP Message Server und ein weiterer Overflow in SAP DIAG. In beiden Fällen kann ein Angreifer beliebigen Code ausführen.

Im Juli wolle Polyakov sämtliche Ergebnisse seiner Untersuchung veröffentlichen.

Die Zahl extern aufgedeckter Sicherheitslücken in SAP-Systemen steigt rapide an. Quelle: ERPScan
Lesen Sie auch : Angriffsziel ERP
Redaktion

Recent Posts

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

21 Stunden ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

1 Tag ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

1 Tag ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

2 Tagen ago

Rechenzentrumsnetzwerke als Schlüssel für Desaster Recovery

Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.

2 Tagen ago

Cybersecurity mit KI: Strategischer Vorteil oder Sicherheitsrisiko?

Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…

2 Tagen ago