PwC-Tool gefährdet möglicherweise SAP-Systeme

Der deutsche Sicherheitsspezialist ESNChat Informationen zu einem schwerwiegenden Sicherheitsleck in einem Tool von PricewaterhouseCoopers für SAP-Systeme veröffentlich. Das deutsche Sicherheitsforschungsunternehmen hat den Fehler im Automated Controls Evaluator (ACE) von PricewaterhouseCooper entdeckt.

Das Tool extrahiert Daten zur Sicherheit und Konfiguration eines SAP-Systems. Mit diesen Daten werden dann Reports generiert, über die Sicherheitsadministratoren bei der Sicherung der Systeme unterstützt werden sollen. So lassen sich Schlupflöcher identifizieren, die Dritte missbrauchen können, um damit auf die Systeme zuzugreifen. Auch privilegierte Zugriffe oder Konflikte bei der “Segregation of Duties” sollen über das Tool identifizierbar sein.

Exploit von PwCs Automated Controls Evaluator (ACE) durch ESNC. Hier wurde ein neuer User mit allen Rechten auf einem System angelegt. (Bild: ESNC)

Doch genau dieses Tool soll die betreuten Systeme gefährden, so ESNC in einem Advisory. Laut Hersteller verändere ACE das produktive Systeme nicht. Problem aber sei, dass ACE statt dessen ein Sicherheitsleck aufweist, dass es erlaubt, Remote auf einem SAP-System ein bösartiges ABAP-File auszuführen. Die Angriffe können lokal über die SAPGui oder über ICF-Services wie WebGui remote über das Internetprotokoll ausgeführt werden. Allerdings müsse sich der Angreifer dafür authentifizieren.

ESNC empfiehlt, gezielt nach missbräuchlichen Verwendungen des Programms zu fahnden und zu einer nicht verwundbaren Version zu wechseln. Anwender der ESNC-Lösung Enterprise Threat Monitor seien seit August vor dem Leck geschützt.

Laut ESNC können Angreifer, abhängig davon, in welchen Modul oder Bereich ACE installiert ist, Buchhaltungsdokumente oder Finanzergebnisse manipulieren. Auch Kontrollen für die Segregation of Duties wie auch Change-Management-Controls lassen sich unter Umständen damit umgehen.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Das erlaube möglicherweise Betrug, Diebstahl oder Manipulation von sensiblen Daten, etwa Masterdata von Konten und Lohninformationen der Personalabteilung, unautorisierte Zahlungen und den Abfluss von Geld, warnen die Sicherheitsexperten. Darüber hinaus könnten die Angreifer Hintertüren setzen, auf das System zugreifen, das System herunterfahren oder auch Änderungen am System durchführen, die die SAP-Installation inoperabel machen. Der Fehler betreffe die Version 8.10.304 aber auch ältere Versionen könnten davon betroffen sein. Die Sicherheitsexperten bewerten das Leck mit dem CVSS-Basescore 9.9.

Bereits im August, so der Sicherheitsspezialist, hätte man Kontakt mit PwC aufgenommen. Anfang September hätten Vertreter von ESNC noch einmal nachgefragt, ob bereits ein Patch vorliege und wenige Tage später dann eine Unterlassungserklärung von PwC zugestellt bekommen. Im November hätte ESNC noch einmal nachgeforscht, ob und wie ein Patch geplant sei. Auch in diesem Fall hätten die Sicherheitsexperten eine Unterlassungserklärung zugesandt bekommen. Daraufhin habe sich das Sicherheitsunternehmen entschieden, das Leck publik zu machen.

Ausgewähltes Whitepaper

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Auf Anfrage des britischen Brachendienstes The Register erklärte ein Sprecher von PwC, dass der Code, auf den dieses Advisory ziele, nicht in den Versionen vorhanden sei, die bei Kunden im Einsatz sind. Daher beschreibe dieses Advisory ein hypotetisches und sehr unwahrscheinliches Scenario. PwC kenne derzeit kein Beispiel, bei dem das ausgenutzt wurde.

Lesen Sie auch : Angriffsziel ERP
Redaktion

Recent Posts

Mehr Datenschutz in der Montage

Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…

1 Tag ago

Cyber Resilience Act: Countdown läuft

Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…

1 Tag ago

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

2 Tagen ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

2 Tagen ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

2 Tagen ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

3 Tagen ago