Veraltete SAP-Systeme im Visier der Hacker

Laut dem ERP-Sicherheitsspezialisten ERPScan sind das die häufigsten Verwundbarkeiten von SAP-Systemen. Quelle: ERPScan

Zahlreiche Bedrohungen ergeben sich aus der Tatsache, dass tausende SAP-Server und Systeme mit Zugang zum Internet nicht auf aktuellem Stand sind. Teilweise wurden diese seit mehr als sieben Jahren nicht entsprechend gepflegt. In einer aktuellen Untersuchung hat der Sicherheitsspezialist Alexander Polyakov, CTO des auf ERP-Sicherheit spezialisierten Unternehmens ERPScan, tausender solcher Systeme im Web gefunden.

Datendiebstahl und hochentwickelte Attacken sind damit auf solche Systeme möglich. Über solche veralteten SAP-Version geben Unternehmen Angreifern die Möglichkeit nicht nur auf die SAP-Systeme zuzugreifen, sondern auch auf andere, angeschlossene Anwendungen. Diese reichen von einem Human Ressource Management bis hin zu industriellen Kontrollsystemen. Der potentielle Schaden ist also immens.

Wie Polyakov bei einer Präsentation auf der RSA Conference Asia Pacific erklärte, entwickle sich derzeit ein schwunghafter Handel im virtuellen Untergrund bei dem Informationen zu solchen Schwachstellen verkauft werden. Und solche SAP-Installationen sind für Angreifer natürlich lohnende Ziele. In den vergangenen Monaten wuchs daher auch das Interesse der Sicherheitsexperten an Schwachstellen rund um SAP. Indem SAP die Systeme für unternehmensübergreifende Zugriffe immer weiter öffnet – etwa über SAP XI – , steigt natürlich damit auch das Risiko für einen Angriff.

Im Rahmen seiner Untersuchung hat Polyakov mehr als 4000 Server gefunden, auf denen öffentliche SAP-Systeme gehostet werden. Immerhin 35 Prozent dieser Server liefen mit NetWeaver 7 EHP O. Diese Version ist 2005 nicht mehr aktualisiert worden. 19 Prozent der gefundenen Systeme wurden 2008 zum letzten Mal aktualisiert und 23 Prozent wurden im Jahr 2012 zum letzten Mal gepflegt. Die meisten dieser Server hat Polyakov über Shodan ermittelt, einer Suchmaschine für Verwundbarkeiten. Aber auch über Google sei Polyakov auf solche Systeme gestoßen.

Auch bei SAP NetWeaver J2EE-Instanzen hätte sich laut Polyakov ein ähnliches Bild gezeigt. So habe er zahlreiche Organisationen finden können, auf denen ein Angreifer sich selbst User-Accounts anlegen kann und entsprechend auch auf dem System Befehle ausführen kann.

Bei etwa fünf Prozent der Unternehmen waren im SAP Dispatcher Service, der die Client-Server-Kommunikation abdeckt, noch die Default-Accounts aktiviert. Über diesen Weg sei es jedoch möglich, ein gesamtes SAP-System lahm zu legen, warnt Polyakov.

Weniger verbreitet war ein Fehler in der SAP Management Console (MMC). Der trat nur bei jedem 40. Unternehmen auf. Noch seltener waren Unternehmen, bei denen über einen verwundbaren HostControl sich Befehle in das System einschleusen lassen. Mit HostControl erlaubt SAP ein Remote-Management von SAP-Systemen.

Darüber hinaus hat Polyakov rund 5000 Router gefunden, auf denen es keine Listen für Access Control gab. Damit könnten Angreifer sich Zugriff auf das interne Netzwerk eines Unternehmen verschaffen.

Als wichtigste Bedrohungen des Jahres 2012 für SAP-Systeme nennt Polyakov in seiner Präsentation: Den Zugriff auf Dateien im SAP Datei-System über ein Leck in SAP NetWeaver DilbertMsg servlet SSRF. Das bereits erwähnte Leck in Host Control, ein Leck in SAP J2EE Core Services, über das beliebiger Dateizugriff möglich ist, sowie ein Buffer Overflow im SAP Message Server und ein weiterer Overflow in SAP DIAG. In beiden Fällen kann ein Angreifer beliebigen Code ausführen.

Im Juli wolle Polyakov sämtliche Ergebnisse seiner Untersuchung veröffentlichen.

Die Zahl extern aufgedeckter Sicherheitslücken in SAP-Systemen steigt rapide an. Quelle: ERPScan
Redaktion

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

6 Stunden ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

6 Stunden ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

3 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago