SAP-Bug gefährdet Point-of-Sales-Installationen

SAP (Bild: SAP)

SAP veröffentlicht Sicherheitsupdates für den Monat Juli und behebt ein Leck in der weit verbreiteten Point-of-Sale-Lösung.

SAP veröffentlicht im Juli insgesamt 23 Security-Notes. Zwölf sind Sicherheits-Patches und 11 Support-Package Notes. Davon sind vier mit der Risiko-Stufe ‘hoch’ bewerte. Von den meisten Lecks geht jedoch eine mittlere Gefährdung aus. Der gewichtigste Fehler liegt in SAP POS, der Point-of-Sale-Lösung von SAP, wie der ERP-Sicherheits-Spezialisten ERPScan meldet

Aufbau der weit verbreiteten Retail-Lösung SAP POS. (Bild: ERPScan)
Aufbau der weit verbreiteten Retail-Lösung SAP POS. (Bild: ERPScan)

Über das Leck, das mit einem CVSS-Score von 8,1 (von 10) bewertet ist, können Angreifer sensible Informationen lesen, schreiben oder löschen. Zudem kann ein Angreifer ohne Authentifizierung alle Informationen auslesen, die über das Receipt-Window in der POS-Lösung dargestellt werden.

SAP POS ist Teil des Retail-Portfolio von SAP und das wird von etwa 80 Prozent der 2000 weltweit größten Retail-Unternehmen verwendet. Die Lösung besteht aus Client-Anwendungen, einem Store Server und verschiedenen Anwendungen in der Zentrale, über die die Lösung zentral konfiguriert werden kann.

Webinar

Digitalisierung fängt mit Software Defined Networking an

In diesem Webinar am 18. Oktober werden Ihnen die unterschiedlichen Wege, ein Software Defined Network aufzubauen, aus strategischer Sicht erklärt sowie die Vorteile der einzelnen Wege aufgezeigt. Außerdem erfahren Sie, welche Aspekte es bei der Auswahl von Technologien und Partnern zu beachten gilt und wie sich auf Grundlage eines SDN eine Vielzahl von Initiativen zur Digitalisierung schnell umsetzen lässt.

Im POS Xpress-Server ist keine Authentifizierung nötig, um kritische Funktionen ausführen zu können, dadurch kann ein Angreifer per Fernzugriff ohne Berechtigung auf alle Dateien auf einem POS-Server zugreifen, die Anwendung schließen oder auch die Inhalte des POS überwachen. Technische Details zu dem Leck wolle ERPScan erst Ende August veröffentlichen, um Anwendern Zeit zu geben, das Leck zu beheben.

Von SAP heißt es dazu: “SAP arbeitet seit Jahren eng mit verschiedenen externen Unternehmen zusammen, die sich auf die Sicherheit von SAP-Lösungen spezialisiert haben. Dazu zählt auch die Firma ERPScan. Die angesprochenen Sicherheitslücken, insbesondere in SAP Point of Sale (POS) Retail Xpress Server sind mittlerweile bereinigt und stehen zum Herunterladen im SAP Support Portal bereit. Wir empfehlen unseren Kunden, alle verfügbaren Patches für ihre Systeme einzuspielen, sobald sie verfügbar sind.”

Weitere Fehler liegen beispielsweise in SAP Governance, Risk and Compliance Access Controls (GRC), die an einer Code-Injection-Vulnerability leiden. Hier können Angreifer unter bestimmten Umständen Code ausführen oder sensible Informationen abgreifen.

Ausgewähltes Whitepaper

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Über ein XML-Leck in der SAP BI Promotion Management Application kann ein Angreifer über ein Cross-Site-Scripting bösartige Scripte in eine Seite einbauen und darüber Informationen auslesen.

Interessant ist ein Blick auf die Fehler-Arten: jeweils vier Fehler entfallen auf “Switchable Authorization Check”, vier weitere sind Implementierungsfehler, und ebenfalls vier gehen auf eine fehlende Authorisierung zurück. Cross-Site-Scripting, was lange die Fehler-Statistiken bei SAP-Produkten anführte, machen beim aktuellen Patch-Tag lediglich drei Fehler aus.

[update 14.43: Der Text wurde korrigiert, da über ERP-Scan eine zu hohe Zahl von SAP POS-Installationen gemeldet wurde.

update 15.29 am 13.07.: Kommentar von SAP eingefügt.]

Umfrage

Automatisierung: Wie weit sind Sie mit Ihrem Unternehmen?

Ergebnisse

Loading ... Loading ...

 

Lesen Sie auch : Angriffsziel ERP