Veraltete SAP-Systeme im Visier der Hacker

Zahlreiche Bedrohungen ergeben sich aus der Tatsache, dass tausende SAP-Server und Systeme mit Zugang zum Internet nicht auf aktuellem Stand sind. Teilweise wurden diese seit mehr als sieben Jahren nicht entsprechend gepflegt. In einer aktuellen Untersuchung hat der Sicherheitsspezialist Alexander Polyakov, CTO des auf ERP-Sicherheit spezialisierten Unternehmens ERPScan, tausender solcher Systeme im Web gefunden.

Datendiebstahl und hochentwickelte Attacken sind damit auf solche Systeme möglich. Über solche veralteten SAP-Version geben Unternehmen Angreifern die Möglichkeit nicht nur auf die SAP-Systeme zuzugreifen, sondern auch auf andere, angeschlossene Anwendungen. Diese reichen von einem Human Ressource Management bis hin zu industriellen Kontrollsystemen. Der potentielle Schaden ist also immens.

Wie Polyakov bei einer Präsentation auf der RSA Conference Asia Pacific erklärte, entwickle sich derzeit ein schwunghafter Handel im virtuellen Untergrund bei dem Informationen zu solchen Schwachstellen verkauft werden. Und solche SAP-Installationen sind für Angreifer natürlich lohnende Ziele. In den vergangenen Monaten wuchs daher auch das Interesse der Sicherheitsexperten an Schwachstellen rund um SAP. Indem SAP die Systeme für unternehmensübergreifende Zugriffe immer weiter öffnet – etwa über SAP XI – , steigt natürlich damit auch das Risiko für einen Angriff.

Im Rahmen seiner Untersuchung hat Polyakov mehr als 4000 Server gefunden, auf denen öffentliche SAP-Systeme gehostet werden. Immerhin 35 Prozent dieser Server liefen mit NetWeaver 7 EHP O. Diese Version ist 2005 nicht mehr aktualisiert worden. 19 Prozent der gefundenen Systeme wurden 2008 zum letzten Mal aktualisiert und 23 Prozent wurden im Jahr 2012 zum letzten Mal gepflegt. Die meisten dieser Server hat Polyakov über Shodan ermittelt, einer Suchmaschine für Verwundbarkeiten. Aber auch über Google sei Polyakov auf solche Systeme gestoßen.

Auch bei SAP NetWeaver J2EE-Instanzen hätte sich laut Polyakov ein ähnliches Bild gezeigt. So habe er zahlreiche Organisationen finden können, auf denen ein Angreifer sich selbst User-Accounts anlegen kann und entsprechend auch auf dem System Befehle ausführen kann.

Bei etwa fünf Prozent der Unternehmen waren im SAP Dispatcher Service, der die Client-Server-Kommunikation abdeckt, noch die Default-Accounts aktiviert. Über diesen Weg sei es jedoch möglich, ein gesamtes SAP-System lahm zu legen, warnt Polyakov.

Weniger verbreitet war ein Fehler in der SAP Management Console (MMC). Der trat nur bei jedem 40. Unternehmen auf. Noch seltener waren Unternehmen, bei denen über einen verwundbaren HostControl sich Befehle in das System einschleusen lassen. Mit HostControl erlaubt SAP ein Remote-Management von SAP-Systemen.

Darüber hinaus hat Polyakov rund 5000 Router gefunden, auf denen es keine Listen für Access Control gab. Damit könnten Angreifer sich Zugriff auf das interne Netzwerk eines Unternehmen verschaffen.

Als wichtigste Bedrohungen des Jahres 2012 für SAP-Systeme nennt Polyakov in seiner Präsentation: Den Zugriff auf Dateien im SAP Datei-System über ein Leck in SAP NetWeaver DilbertMsg servlet SSRF. Das bereits erwähnte Leck in Host Control, ein Leck in SAP J2EE Core Services, über das beliebiger Dateizugriff möglich ist, sowie ein Buffer Overflow im SAP Message Server und ein weiterer Overflow in SAP DIAG. In beiden Fällen kann ein Angreifer beliebigen Code ausführen.

Im Juli wolle Polyakov sämtliche Ergebnisse seiner Untersuchung veröffentlichen.