Categories: ERP-SuitesSoftware

CERT warnt vor unsicheren SAP-Systemen

Wie so oft sind nicht die gepatchten Sicherheits-Lecks das Problem, sondern, dass bestimmte Aktualisierungen nicht eingepflegt werden, oder weil Systeme falsch konfiguriert sind. Und so verhält es sich auch im aktuellen Fall, bei dem das dem US-Heimatschutzministerium unterstellte Computer Emergency Readiness Team (CERT) vor Angriffen auf eine rund sechs Jahre alte Sicherheitslücke in Unternehmenslösungen von SAP warnt.

Der Fehler steckt in einer Invoker Servlet genannten Funktion des SAP NetWeaver Application Server Java System. Für dieses Sicherheitsleck hatte SAP bereits 2010 einen Patch veröffentlicht. Davon sind laut CERT mindestens 36 Unternehmen weltweit betroffen. Der auf ERP-Sicherheit spezialisierte Anbieter Onapsis melden indes Hinweise auf Angriffe gegen die SAP-Anwendungen dieser Firmen.

Angreifbar sind laut Advisory Business-Anwendungen, die auf der SAP-Java-Plattform laufen. Da die SAP-Anwendungsschicht anfällig sei, trete der Fehler unabhängig vom verwendeten Betriebssystem und der Datenbank-Applikation auf, die das SAP-System unterstütze. Ein Angreifer erhalte unter Umständen remote und ohne Authentifizierung vollständigen Zugriff auf die betroffenen SAP-Plattformen. Was bedeuten könne, dass Unautorisierte vollständige Kontrolle und Einsicht über Geschäftsinformationen und –prozesse auf dem betroffenen System bekommen.

Die Sicherheitswarnung des CERT enthält auch eine Liste mit SAP-Anwendungen, die auf der SAP-Java-Plattform aufbauen. Dazu gehören SAP Enterprise Resource Planning, SAP Product Lifecycle Management, SAP Customer Relationship Management, SAP Supply Chain Management und SAP Business Intelligence.

Betroffene Unternehmen sollten die SAP Security Note 1445998 umsetzen und das Invoker Servlet deaktivieren. Weitere Details liefert ein ausführlicher Forschungsbericht von Onapsis (Registrierung erforderlich). Demnach benötigt ein Hacker lediglich einen Browser sowie Domain, Hostname und IP-Adresse des anzugreifenden SAP-Systems. Die Liste der 36 angreifbaren Firmen soll schon seit 2013 in einem in China registrierten Internetforum kursieren.

Die betroffenen Firmen befinden sich in oder gehören zu Konzernen aus China, Deutschland, Großbritannien, Indien, Japan, Südkorea und den USA. Darunter sind Telekommunikationsanbieter, Kraftwerke, Einzelhändler, Stahl- sowie Öl- und Gaskonzerne. Laut Onapsis wurden sie bereits in Zusammenarbeit mit dem US-CERT über die mögliche Bedrohung informiert.

Komplexe Systeme mit vielen Querverbindungen bieten zahlreiche Angriffsmöglichkeiten (Bild: ERPScan).

Ein Sprecher des Walldorfer Softwarehauses betonte, dass das Invoker Servlet bereits 2010 durch einen Patch deaktiviert wurde. “Alle seitdem veröffentlichen SAP-Anwendungen sind frei von dieser Anfälligkeit.” Da derartige Konfigurationsänderungen Probleme mit kundeneigener Software verursachten, sei die Funktion in Releases von SAP NetWeaver vor Version 7.20 nicht deaktiviert worden.

Aufgrund der hohen Komplexität von ERP-Systemen tauchen immer wieder Berichte über Sicherheitslecks auf, die auf falsche Konfigurationen oder nicht eingespielte Patches zurückzuführen sind. SAP veröffentlicht zudem regelmäßig Sicherheitsupdates.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

View Comments

  • CERT = Computer Emergency RESPONSE Team... (immer gut, wenn man weiß, worüber man schreibt ;-) )

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

3 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

4 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

5 Tagen ago