SAP behebt hochkritisches Leck in HANA

SAP veröffentlicht am März-Patchday insgesamt 25 Sicherheits-Updates. Zwei davon sind ein Update für ältere Advisories, weiteres Leck stuft der Hersteller als besonders gefährlich ein. Das mit einem CVSS-Score-Wert von 9,8 bewerte “Hot News”-Leck für SAP HANA kann für den Diebstahl vertraulicher Informationen und für Finanzbetrug missbraucht werden und das ohne Nutzernamen oder Passwort abgefragt werden.

Dieses Leck betrifft den User Self Service, über den Anwender beispielsweise ihr Passwort zurücksetzen können. Eigentlich ist dieser Service per Default deaktiviert, jedoch wird er von einigen Anwendern dafür verwendet, um externen Nutzern Zugriff auf die eigenen Ressourcen zu geben.

Die Sicherheitsforscher von Onapsis haben diesen Fehler entdeckt und gehen davon aus, dass er seit der Veröffentlichung von HANA vor etwa zwei Jahren vorhanden war, auch wenn die Sicherheitsforscher den Fehler erst in der im November veröffentlichten Version 2 der Echtzeitdatenbank fanden.

PartnerZone

Effektive Meeting-und Kollaboration-Lösungen

Mitarbeiter sind heute mit Konnektivität, Mobilität und Video aufgewachsen oder vertraut. Sie nutzen die dazu erforderlichen Technologien privat und auch für die Arbeit bereits jetzt intensiv. Nun gilt es, diese Technologien und ihre Möglichkeiten in Unternehmen strategisch einzusetzen.

Die Experten von Onapsis gehen davon aus, dass der Bug daher auch in anderen Komponenten wie der Business Suite on HANA, S/4 oder auch in anderen HANA-Versionen sowie einigen Cloud-Produkten vorhanden sein könnte. Weil der Bug wohl für zwei Jahre nicht gepatcht wurde und ausgenutzt werden konnte, ist die Wahrscheinlichkeit, dass Hacker dieses Leck entdeckt haben, sehr hoch, warnen die Experten von Onapsis. Belege dafür gibt es derzeit jedoch nicht.

Der März-Patchday behebt ein besonders schweres Leck in den User Self Services. (Bild: SAP)

“Mit diesen Zugriffsrechten kann ein Angreifer beliebige Aktionen auf den Business-Informationen und Prozessen, die von HANA unterstützt werden, ausführen. Dazu gehört unter anderem das Erzeugen, Stehlen, Verändern und das Löschen von sensiblen Informationen”, kommentiert Sebastian Bortnik, Forschungschef von Onapsis. Wenn diese Lecks ausgenutzt werden, könnte das für Unternehmen schwerwiegende Konsequenzen haben.

Auch bei diesem Patchday ist der Fehler-Typ Cross-Site-Scripting besonders verbreitet. (Bild: SAP)

Allerdings sind nur Anwender betroffen, die diese Komponente aktiviert haben. Doch auch wenn sie nicht aktiviert ist, sollten Anwender den Patch von SAP einspielen, um künftigen Veränderungen am System vorzubeugen.

Darüber hinaus behebt SAP auch noch andere Lecks, etwa eine Session Fixation Vulnerability (CVSS von 8,8), eine Remote-Code-Execution in der SAP-GUI für Windows (CVSS 8,0) mehrere Cross-Site-Scripting-Bugs, SQL-Injections und Fehler, die Denial-of-Service-Angriffe erlauben.

Lesen Sie auch : Angriffsziel ERP
Redaktion

Recent Posts

IT 2025: IT-Führungskräfte erwarten massiven KI-Ruck

Einsatz von KI-Lösungen wirbelt auch in deutschen Unternehmen die Liste der Top-Technologieanbieter durcheinander.

2 Tagen ago

Sofortzahlungen im Wandel: Sicherheit und KI als treibende Kräfte

Echtzeitüberweisungen erfüllen die Erwartungen der Nutzer an Geschwindigkeit, sind jedoch anfällig für spezifische Sicherheits- und…

3 Tagen ago

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

4 Tagen ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

5 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

5 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

6 Tagen ago