Wie so oft sind nicht die gepatchten Sicherheits-Lecks das Problem, sondern, dass bestimmte Aktualisierungen nicht eingepflegt werden, oder weil Systeme falsch konfiguriert sind. Und so verhält es sich auch im aktuellen Fall, bei dem das dem US-Heimatschutzministerium unterstellte Computer Emergency Readiness Team (CERT) vor Angriffen auf eine rund sechs Jahre alte Sicherheitslücke in Unternehmenslösungen von SAP warnt.
Der Fehler steckt in einer Invoker Servlet genannten Funktion des SAP NetWeaver Application Server Java System. Für dieses Sicherheitsleck hatte SAP bereits 2010 einen Patch veröffentlicht. Davon sind laut CERT mindestens 36 Unternehmen weltweit betroffen. Der auf ERP-Sicherheit spezialisierte Anbieter Onapsis melden indes Hinweise auf Angriffe gegen die SAP-Anwendungen dieser Firmen.
Angreifbar sind laut Advisory Business-Anwendungen, die auf der SAP-Java-Plattform laufen. Da die SAP-Anwendungsschicht anfällig sei, trete der Fehler unabhängig vom verwendeten Betriebssystem und der Datenbank-Applikation auf, die das SAP-System unterstütze. Ein Angreifer erhalte unter Umständen remote und ohne Authentifizierung vollständigen Zugriff auf die betroffenen SAP-Plattformen. Was bedeuten könne, dass Unautorisierte vollständige Kontrolle und Einsicht über Geschäftsinformationen und –prozesse auf dem betroffenen System bekommen.
Die Sicherheitswarnung des CERT enthält auch eine Liste mit SAP-Anwendungen, die auf der SAP-Java-Plattform aufbauen. Dazu gehören SAP Enterprise Resource Planning, SAP Product Lifecycle Management, SAP Customer Relationship Management, SAP Supply Chain Management und SAP Business Intelligence.
Betroffene Unternehmen sollten die SAP Security Note 1445998 umsetzen und das Invoker Servlet deaktivieren. Weitere Details liefert ein ausführlicher Forschungsbericht von Onapsis (Registrierung erforderlich). Demnach benötigt ein Hacker lediglich einen Browser sowie Domain, Hostname und IP-Adresse des anzugreifenden SAP-Systems. Die Liste der 36 angreifbaren Firmen soll schon seit 2013 in einem in China registrierten Internetforum kursieren.
Die betroffenen Firmen befinden sich in oder gehören zu Konzernen aus China, Deutschland, Großbritannien, Indien, Japan, Südkorea und den USA. Darunter sind Telekommunikationsanbieter, Kraftwerke, Einzelhändler, Stahl- sowie Öl- und Gaskonzerne. Laut Onapsis wurden sie bereits in Zusammenarbeit mit dem US-CERT über die mögliche Bedrohung informiert.
Ein Sprecher des Walldorfer Softwarehauses betonte, dass das Invoker Servlet bereits 2010 durch einen Patch deaktiviert wurde. “Alle seitdem veröffentlichen SAP-Anwendungen sind frei von dieser Anfälligkeit.” Da derartige Konfigurationsänderungen Probleme mit kundeneigener Software verursachten, sei die Funktion in Releases von SAP NetWeaver vor Version 7.20 nicht deaktiviert worden.
Aufgrund der hohen Komplexität von ERP-Systemen tauchen immer wieder Berichte über Sicherheitslecks auf, die auf falsche Konfigurationen oder nicht eingespielte Patches zurückzuführen sind. SAP veröffentlicht zudem regelmäßig Sicherheitsupdates.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.
IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…
View Comments
CERT = Computer Emergency RESPONSE Team... (immer gut, wenn man weiß, worüber man schreibt ;-) )
ups - ich nehme alles zurück, die nennen sich tatsächlich "readiness" - o.m.g