SAP-Bug gefährdet Point-of-Sales-Installationen

SAP veröffentlicht im Juli insgesamt 23 Security-Notes. Zwölf sind Sicherheits-Patches und 11 Support-Package Notes. Davon sind vier mit der Risiko-Stufe ‘hoch’ bewerte. Von den meisten Lecks geht jedoch eine mittlere Gefährdung aus. Der gewichtigste Fehler liegt in SAP POS, der Point-of-Sale-Lösung von SAP, wie der ERP-Sicherheits-Spezialisten ERPScan meldet.

Aufbau der weit verbreiteten Retail-Lösung SAP POS. (Bild: ERPScan)

Über das Leck, das mit einem CVSS-Score von 8,1 (von 10) bewertet ist, können Angreifer sensible Informationen lesen, schreiben oder löschen. Zudem kann ein Angreifer ohne Authentifizierung alle Informationen auslesen, die über das Receipt-Window in der POS-Lösung dargestellt werden.

SAP POS ist Teil des Retail-Portfolio von SAP und das wird von etwa 80 Prozent der 2000 weltweit größten Retail-Unternehmen verwendet. Die Lösung besteht aus Client-Anwendungen, einem Store Server und verschiedenen Anwendungen in der Zentrale, über die die Lösung zentral konfiguriert werden kann.

Webinar

Digitalisierung fängt mit Software Defined Networking an

In diesem Webinar am 18. Oktober werden Ihnen die unterschiedlichen Wege, ein Software Defined Network aufzubauen, aus strategischer Sicht erklärt sowie die Vorteile der einzelnen Wege aufgezeigt. Außerdem erfahren Sie, welche Aspekte es bei der Auswahl von Technologien und Partnern zu beachten gilt und wie sich auf Grundlage eines SDN eine Vielzahl von Initiativen zur Digitalisierung schnell umsetzen lässt.

Im POS Xpress-Server ist keine Authentifizierung nötig, um kritische Funktionen ausführen zu können, dadurch kann ein Angreifer per Fernzugriff ohne Berechtigung auf alle Dateien auf einem POS-Server zugreifen, die Anwendung schließen oder auch die Inhalte des POS überwachen. Technische Details zu dem Leck wolle ERPScan erst Ende August veröffentlichen, um Anwendern Zeit zu geben, das Leck zu beheben.

Von SAP heißt es dazu: “SAP arbeitet seit Jahren eng mit verschiedenen externen Unternehmen zusammen, die sich auf die Sicherheit von SAP-Lösungen spezialisiert haben. Dazu zählt auch die Firma ERPScan. Die angesprochenen Sicherheitslücken, insbesondere in SAP Point of Sale (POS) Retail Xpress Server sind mittlerweile bereinigt und stehen zum Herunterladen im SAP Support Portal bereit. Wir empfehlen unseren Kunden, alle verfügbaren Patches für ihre Systeme einzuspielen, sobald sie verfügbar sind.”

Weitere Fehler liegen beispielsweise in SAP Governance, Risk and Compliance Access Controls (GRC), die an einer Code-Injection-Vulnerability leiden. Hier können Angreifer unter bestimmten Umständen Code ausführen oder sensible Informationen abgreifen.

Ausgewähltes Whitepaper

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Über ein XML-Leck in der SAP BI Promotion Management Application kann ein Angreifer über ein Cross-Site-Scripting bösartige Scripte in eine Seite einbauen und darüber Informationen auslesen.

Interessant ist ein Blick auf die Fehler-Arten: jeweils vier Fehler entfallen auf “Switchable Authorization Check”, vier weitere sind Implementierungsfehler, und ebenfalls vier gehen auf eine fehlende Authorisierung zurück. Cross-Site-Scripting, was lange die Fehler-Statistiken bei SAP-Produkten anführte, machen beim aktuellen Patch-Tag lediglich drei Fehler aus.

[update 14.43: Der Text wurde korrigiert, da über ERP-Scan eine zu hohe Zahl von SAP POS-Installationen gemeldet wurde.

update 15.29 am 13.07.: Kommentar von SAP eingefügt.]

Loading ...

Lesen Sie auch : Angriffsziel ERP
Redaktion

Recent Posts

Mehr Datenschutz in der Montage

Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…

2 Tagen ago

Cyber Resilience Act: Countdown läuft

Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…

2 Tagen ago

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

3 Tagen ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

3 Tagen ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

3 Tagen ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

4 Tagen ago