SAP veröffentlicht am März-Patchday insgesamt 25 Sicherheits-Updates. Zwei davon sind ein Update für ältere Advisories, weiteres Leck stuft der Hersteller als besonders gefährlich ein. Das mit einem CVSS-Score-Wert von 9,8 bewerte “Hot News”-Leck für SAP HANA kann für den Diebstahl vertraulicher Informationen und für Finanzbetrug missbraucht werden und das ohne Nutzernamen oder Passwort abgefragt werden.
Dieses Leck betrifft den User Self Service, über den Anwender beispielsweise ihr Passwort zurücksetzen können. Eigentlich ist dieser Service per Default deaktiviert, jedoch wird er von einigen Anwendern dafür verwendet, um externen Nutzern Zugriff auf die eigenen Ressourcen zu geben.
Die Sicherheitsforscher von Onapsis haben diesen Fehler entdeckt und gehen davon aus, dass er seit der Veröffentlichung von HANA vor etwa zwei Jahren vorhanden war, auch wenn die Sicherheitsforscher den Fehler erst in der im November veröffentlichten Version 2 der Echtzeitdatenbank fanden.
Mitarbeiter sind heute mit Konnektivität, Mobilität und Video aufgewachsen oder vertraut. Sie nutzen die dazu erforderlichen Technologien privat und auch für die Arbeit bereits jetzt intensiv. Nun gilt es, diese Technologien und ihre Möglichkeiten in Unternehmen strategisch einzusetzen.
Die Experten von Onapsis gehen davon aus, dass der Bug daher auch in anderen Komponenten wie der Business Suite on HANA, S/4 oder auch in anderen HANA-Versionen sowie einigen Cloud-Produkten vorhanden sein könnte. Weil der Bug wohl für zwei Jahre nicht gepatcht wurde und ausgenutzt werden konnte, ist die Wahrscheinlichkeit, dass Hacker dieses Leck entdeckt haben, sehr hoch, warnen die Experten von Onapsis. Belege dafür gibt es derzeit jedoch nicht.
“Mit diesen Zugriffsrechten kann ein Angreifer beliebige Aktionen auf den Business-Informationen und Prozessen, die von HANA unterstützt werden, ausführen. Dazu gehört unter anderem das Erzeugen, Stehlen, Verändern und das Löschen von sensiblen Informationen”, kommentiert Sebastian Bortnik, Forschungschef von Onapsis. Wenn diese Lecks ausgenutzt werden, könnte das für Unternehmen schwerwiegende Konsequenzen haben.
Allerdings sind nur Anwender betroffen, die diese Komponente aktiviert haben. Doch auch wenn sie nicht aktiviert ist, sollten Anwender den Patch von SAP einspielen, um künftigen Veränderungen am System vorzubeugen.
Darüber hinaus behebt SAP auch noch andere Lecks, etwa eine Session Fixation Vulnerability (CVSS von 8,8), eine Remote-Code-Execution in der SAP-GUI für Windows (CVSS 8,0) mehrere Cross-Site-Scripting-Bugs, SQL-Injections und Fehler, die Denial-of-Service-Angriffe erlauben.