SAP veröffentlicht am März-Patchday insgesamt 25 Sicherheits-Updates. Zwei davon sind ein Update für ältere Advisories, weiteres Leck stuft der Hersteller als besonders gefährlich ein. Das mit einem CVSS-Score-Wert von 9,8 bewerte “Hot News”-Leck für SAP HANA kann für den Diebstahl vertraulicher Informationen und für Finanzbetrug missbraucht werden und das ohne Nutzernamen oder Passwort abgefragt werden.
Dieses Leck betrifft den User Self Service, über den Anwender beispielsweise ihr Passwort zurücksetzen können. Eigentlich ist dieser Service per Default deaktiviert, jedoch wird er von einigen Anwendern dafür verwendet, um externen Nutzern Zugriff auf die eigenen Ressourcen zu geben.
Die Sicherheitsforscher von Onapsis haben diesen Fehler entdeckt und gehen davon aus, dass er seit der Veröffentlichung von HANA vor etwa zwei Jahren vorhanden war, auch wenn die Sicherheitsforscher den Fehler erst in der im November veröffentlichten Version 2 der Echtzeitdatenbank fanden.
Mitarbeiter sind heute mit Konnektivität, Mobilität und Video aufgewachsen oder vertraut. Sie nutzen die dazu erforderlichen Technologien privat und auch für die Arbeit bereits jetzt intensiv. Nun gilt es, diese Technologien und ihre Möglichkeiten in Unternehmen strategisch einzusetzen.
Die Experten von Onapsis gehen davon aus, dass der Bug daher auch in anderen Komponenten wie der Business Suite on HANA, S/4 oder auch in anderen HANA-Versionen sowie einigen Cloud-Produkten vorhanden sein könnte. Weil der Bug wohl für zwei Jahre nicht gepatcht wurde und ausgenutzt werden konnte, ist die Wahrscheinlichkeit, dass Hacker dieses Leck entdeckt haben, sehr hoch, warnen die Experten von Onapsis. Belege dafür gibt es derzeit jedoch nicht.
“Mit diesen Zugriffsrechten kann ein Angreifer beliebige Aktionen auf den Business-Informationen und Prozessen, die von HANA unterstützt werden, ausführen. Dazu gehört unter anderem das Erzeugen, Stehlen, Verändern und das Löschen von sensiblen Informationen”, kommentiert Sebastian Bortnik, Forschungschef von Onapsis. Wenn diese Lecks ausgenutzt werden, könnte das für Unternehmen schwerwiegende Konsequenzen haben.
Allerdings sind nur Anwender betroffen, die diese Komponente aktiviert haben. Doch auch wenn sie nicht aktiviert ist, sollten Anwender den Patch von SAP einspielen, um künftigen Veränderungen am System vorzubeugen.
Darüber hinaus behebt SAP auch noch andere Lecks, etwa eine Session Fixation Vulnerability (CVSS von 8,8), eine Remote-Code-Execution in der SAP-GUI für Windows (CVSS 8,0) mehrere Cross-Site-Scripting-Bugs, SQL-Injections und Fehler, die Denial-of-Service-Angriffe erlauben.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…
Cloud-Trends 2025: Zahlreiche neue Technologien erweitern die Grenzen von Cloud Computing.
Noah Labs wollen Kardiologie-Praxen und Krankenhäuser in Deutschland durch KI-gestütztes Telemonitoring von Patienten entlasten.
Neun von zehn deutschen Managern erwarten, dass der Einsatz von KI auf ihre Nachhaltigkeitsziele einzahlen…
Intergermania Transport automatisiert die Belegerfassung mit KI und profitiert von 95 Prozent Zeitersparnis.
Cyberattacken finden in allen Branchen statt, und Geschwindigkeit und Häufigkeit der Angriffe werden weiter zunehmen,…
