Categories: ERP-SuitesSoftware

SAP schließt 15 kritische Lecks in HANA und Mobile

SAP hat das monatlichen Patch-Update für den Monat August 2015 veröffentlicht. Dieses Update schließt 22 Lücken in verschiedenen SAP-Produkten. Davon haben 15 eine hohe Priorität und darunter fallen auch Lecks in der In-Memory-Technologie HANA. SAP und verschiedene spezialisierte ERP-Sicherheits-Anbieter wie ERP-Scan oder Onapsis raten dringend, diese Patches möglichst schnell einzuspielen.

Einer der Fehler erlaubt KeyStream-Recovery und erlaubt einem Angreifer, der Zugriff auf ein verwundbares System hat, die Anmeldedaten und andere sensible Informationen, die auf dem Gerät gespeichert sind zu entschlüsseln. Theoretisch, so warnt das Sicherheitsunternehmen Onapsis, das diese Lecks laut eigenen Angaben aufgespürt hat, können Angreifer über diese Geräte dann auch auf andere Systeme zugreifen.

Die Verteilung der Lecks im August. (Bild: SAP)

Aufgrund vorhersagbarer Verschlüsselungspasswörter für Konfigurationswerte, macht es ein weiterer Fehler möglich, sensible Konfigurationswerte von SAP-Unternehmensanwendungen zu entschlüsseln und zu verändern. Damit stehen zahlreiche Software-Produkte für Attacken offen.

Loading ...

Eine dritte Schwachstelle betrifft vorhersagbare Verschlüsselungen für Storage-Passwörter. Damit können Angreifer auf sensible Informationen zugreifen, die auf verwundbaren Geräten gespeichert sind auch können zum Beispiel Anmeldeinformationen potentiell ausgelesen werden. Auch sei es damit möglich, dass Angreifer sich mit Unternehmensanwendungen verbinden und hier weitere Daten verändern.

Das Sicherheitsunternehmen ERP-Scan, das ebenfalls für sich verbucht, einige Lecks entdeckt zu haben, die in diesem August-Patch-Day geschlossen wurden, hat zudem eine Einordnung der wichtigsten Patches vorgenommen.

Mit einem CVSS Base-Score von 8,5 dürfte das Leck in SAP ST-P am meisten Gewicht haben. Es erlaubt Remote Command Execution. Darüber kann ein Angreifer aus der Ferne Befehle mit den Rechten der Services, die diese verarbeiten, ausführen. Hacker können auf beliebige Dateien in einem SAP-Server-File-System zugreifen, “darunter auch Anwendungs-Source-Code, Konfigurations- und kritische System-Dateien”, warnt Onapsis. Auch könnten auf diese Weise Business-Daten entwendet werden.

Patch 2169391 behebt einen Reflected-File-Download-Fehler (RFD) in SAP NetWeaver AFP Servlett. (CVSS 7,5) Über diesen Web-Angriffs-Vector können Angreifer vollständige Kontrolle über ein angegriffenes System erlangen. Über die RFD-Attacke klickt der Nutzer auf einen Link und er lädt dann aus einer vertrauenswürdigen Domain über einen Bösartigen Link eine manipulierte Datei herunter.

Der Patch 2175928 behebt ein Leck für Running Process Remote Termination (CVSS 6,8). Darüber kann ein Angreifer einen laufenden Prozess in einer angreifbaren Komponente stoppen. Anschließend sei kein Nutzer mehr in der Lage, den Prozess zu nutzen. In der Folge sind gestoppte Business-Prozesse oder System-Abstürze möglich, die dem Unternehmen schaden können.

Ebenfalls in HANA ist ein Leck, das aus einer inkorrekten System-Konfiguration besteht. Darüber können Angreifer ebenfalls auf ein HANA-System ohne Authentifizierung zugreifen.

“National-Staaten und organisierte Verbrecherbanden greifen SAP Business Applications an, weil hier die sensibelsten Daten eines Unternehmens lagern. Dadurch wird es für Unternehmen extrem wichtig, auch vorausgreifende Maßnahmen für den Schutz von SAP-Systemen zu ergreifen”, kommentiert Ezequiel Gutesman, Director Research bei Onapsis. “In einer Studie unserer Forschungsabteilung zeigte sich, dass über 95 Prozent der untersuchten SAP-Systeme unter Verwundbarkeiten litten, die zu einem vollständigen Verlust der Daten und der Systeme hätten führen können.” Weil immer häufiger Angriffe auf diese Systeme stattfinden, sei es so wichtig, dass die Sicherheitsteams mit den Teams für Information Sicherheit zusammenarbeiten, um das Problem zu beheben.

Tipp: Was wissen Sie über SAP? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Lesen Sie auch : Angriffsziel ERP
Redaktion

Recent Posts

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

11 Stunden ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

15 Stunden ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

16 Stunden ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

2 Tagen ago

Rechenzentrumsnetzwerke als Schlüssel für Desaster Recovery

Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.

2 Tagen ago

Cybersecurity mit KI: Strategischer Vorteil oder Sicherheitsrisiko?

Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…

2 Tagen ago