PwC-Tool gefährdet möglicherweise SAP-Systeme

Der deutsche Sicherheitsspezialist ESNChat Informationen zu einem schwerwiegenden Sicherheitsleck in einem Tool von PricewaterhouseCoopers für SAP-Systeme veröffentlich. Das deutsche Sicherheitsforschungsunternehmen hat den Fehler im Automated Controls Evaluator (ACE) von PricewaterhouseCooper entdeckt.

Das Tool extrahiert Daten zur Sicherheit und Konfiguration eines SAP-Systems. Mit diesen Daten werden dann Reports generiert, über die Sicherheitsadministratoren bei der Sicherung der Systeme unterstützt werden sollen. So lassen sich Schlupflöcher identifizieren, die Dritte missbrauchen können, um damit auf die Systeme zuzugreifen. Auch privilegierte Zugriffe oder Konflikte bei der “Segregation of Duties” sollen über das Tool identifizierbar sein.

Exploit von PwCs Automated Controls Evaluator (ACE) durch ESNC. Hier wurde ein neuer User mit allen Rechten auf einem System angelegt. (Bild: ESNC)

Doch genau dieses Tool soll die betreuten Systeme gefährden, so ESNC in einem Advisory. Laut Hersteller verändere ACE das produktive Systeme nicht. Problem aber sei, dass ACE statt dessen ein Sicherheitsleck aufweist, dass es erlaubt, Remote auf einem SAP-System ein bösartiges ABAP-File auszuführen. Die Angriffe können lokal über die SAPGui oder über ICF-Services wie WebGui remote über das Internetprotokoll ausgeführt werden. Allerdings müsse sich der Angreifer dafür authentifizieren.

ESNC empfiehlt, gezielt nach missbräuchlichen Verwendungen des Programms zu fahnden und zu einer nicht verwundbaren Version zu wechseln. Anwender der ESNC-Lösung Enterprise Threat Monitor seien seit August vor dem Leck geschützt.

Laut ESNC können Angreifer, abhängig davon, in welchen Modul oder Bereich ACE installiert ist, Buchhaltungsdokumente oder Finanzergebnisse manipulieren. Auch Kontrollen für die Segregation of Duties wie auch Change-Management-Controls lassen sich unter Umständen damit umgehen.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Das erlaube möglicherweise Betrug, Diebstahl oder Manipulation von sensiblen Daten, etwa Masterdata von Konten und Lohninformationen der Personalabteilung, unautorisierte Zahlungen und den Abfluss von Geld, warnen die Sicherheitsexperten. Darüber hinaus könnten die Angreifer Hintertüren setzen, auf das System zugreifen, das System herunterfahren oder auch Änderungen am System durchführen, die die SAP-Installation inoperabel machen. Der Fehler betreffe die Version 8.10.304 aber auch ältere Versionen könnten davon betroffen sein. Die Sicherheitsexperten bewerten das Leck mit dem CVSS-Basescore 9.9.

Bereits im August, so der Sicherheitsspezialist, hätte man Kontakt mit PwC aufgenommen. Anfang September hätten Vertreter von ESNC noch einmal nachgefragt, ob bereits ein Patch vorliege und wenige Tage später dann eine Unterlassungserklärung von PwC zugestellt bekommen. Im November hätte ESNC noch einmal nachgeforscht, ob und wie ein Patch geplant sei. Auch in diesem Fall hätten die Sicherheitsexperten eine Unterlassungserklärung zugesandt bekommen. Daraufhin habe sich das Sicherheitsunternehmen entschieden, das Leck publik zu machen.

Ausgewähltes Whitepaper

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Auf Anfrage des britischen Brachendienstes The Register erklärte ein Sprecher von PwC, dass der Code, auf den dieses Advisory ziele, nicht in den Versionen vorhanden sei, die bei Kunden im Einsatz sind. Daher beschreibe dieses Advisory ein hypotetisches und sehr unwahrscheinliches Scenario. PwC kenne derzeit kein Beispiel, bei dem das ausgenutzt wurde.

Redaktion

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

1 Tag ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

1 Tag ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

3 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

4 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

5 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

5 Tagen ago