Der Security-Experte Onapsis Research Labs hat kritische Cyber-Sicherheitslücken entdeckt, die SAP-S/4-Hana und darauf basierende Applikationen betreffen.
Der auf
Security für Geschäftsanwendungen auf
SAP- und Oracle-Basis spezialisierte Anbieter Onapsis Research Labs hat 21 neue Sicherheitsempfehlungen (Security Advisories) veröffentlicht, die eine große Zahl von Sicherheitslücken beschreiben.
Diese betreffen alle SAP-Hana-basierten Applikationen – auch SAP-S/4-Hana und SAP-Cloud-Lösungen auf der Basis von Hana. Onapsis hebt in seinen Sicherheitsempfehlungen acht als "Critical Risks" eingestufte Schwachstellen hervor. Sechs davon betreffen konstruktive Schwachstellen in SAP Hana, die sich nur über Änderungen in der Systemkonfiguration entschärfen lassen.
Es ist gemäß Onapsis das erste Mal, dass Empfehlungen mit dem höchsten Risiko für SAP Hana veröffentlicht werden. Zudem handelt es sich dabei um die bisher höchste Zahl an bisher bekannt gegebenen Sicherheitslücken für SAP Hana.
Unterbleiben die notwendigen Systemkonfigurationen, können nicht authentifizierte Angreifer die vollständige Kontrolle über verwundbare SAP-Hana-Systeme übernehmen sowie Geschäftsinformationen stehlen, löschen oder ändern. Darüber hinaus sind sie in der Lage, die gesamte SAP-Plattform herunterzufahren oder geschäftliche Schlüsselprozesse zu unterbrechen.
Im Detail: Die neuen, von Onapsis veröffentlichten Hana-Sicherheitsempfehlungen betreffen acht kritische Schwachstellen, sechs davon mit hohem Risiko und sieben mit einem mittlerem Risiko. Viele der kritischen Schwachstellen stehen in Verbindung mit den TrexNet-Schnittstellen im Kern der Hana-Software, die die Kommunikation zwischen Servern in Hochverfügbarkeits-Umgebungen steuern und großvolumige Geschäfte unterstützen.
Da SAP Hana sich zur Basistechnologie für alle SAP-Applikationen inklusive S4/HANA und die SAP-Hana-Cloud-Plattform entwickelt und auch ein umfassendes Angebot an mobilen Applikationen von Drittanbietern unterstützt, wächst die Angriffsfläche exponentiell.
Die wichtigsten Empfehlungen für Security-Verantwortliche
Die SAP-Sicherheitsexperten von Onapsis haben mit hunderten Unternehmen weltweit zusammengearbeitet, um die Auswirkungen dieser und anderer schwerwiegender Sicherheitslücken mithilfe des "Business Risk Illustration"-Tools (BRI) zu ermitteln.
Einige dieser Schwachstellen lassen sich laut Onapsis nicht durch das Einspielen von Patches beheben, und der betroffene TrexNet-Service kann dann nicht heruntergefahren werden. Eine saubere, korrekt implementierte Rekonfiguration des Systems ist in diesen Fällen die einzige Abwehrmöglichkeit.
Zusätzlich zum Verarbeiten der veröffentlichten SAP-Sicherheitshinweise empfiehlt Onapsis den SAP-Kunden folgende Schritte:
- Schritt 1 - TrexNet-Kommunikation korrekt konfigurieren: Datenübertragung ist essenziell für die Funktion von SAP HANA in Hochverfügbarkeitsumgebungen. Diese Kommunikation muss über Netzwerke stattfinden, die von Endanwendern isoliert sind und auf die von keinem anderen Netzwerk aus zugegriffen werden kann. Zudem ist sicher zu stellen, dass auf der Transportebene sowohl eine Verschlüsselung als auch eine Authentifizierung sauber installiert sind. Wenn nur eine SAP-HANA-Instanz eingerichtet ist, dürfen alle TrexNet-Schnittstellen nur mit der Localhost-Netzwerkschnittstelle kommunizieren.
- Schritt 2 - Überwachen der Benutzeraktivität: Einige der kritischen Sicherheitslücken können von legitimierten Anwendern und Hackern ausgenutzt werden, die versuchen, sich mit den verwundbaren Komponenten zu verbinden (SQL und HTTP). Der HTTP-Datenverkehr ist auf ungewöhnliche Aktivitäten ebenso zu überprüfen wie die HTTP- und die SQL-Logs auf auffällige Eingaben.
- Schritt 3 - Detection und Response: Wichtig ist auch im Bereich SAP eine umfassende Informations-Sicherheitsstrategie. Nur dies stellt ein durchgängiges Monitoring von SAP- und SAP-HANA-Systemen sicher und liefert relevante Echtzeitinformationen an vorhandene SIEM- oder GRC-Tools.
- Die verbleibenden kritischen Sicherheitslücken, die nicht in Verbindung mit dem TrexNet-Protokoll stehen, sollten entsprechend den SAP Security Notes gepatched werden. Für die beschriebenen Schwachstellen hat SAP folgende Security Notes veröffentlicht: 2165583, 2148854, 2175928, 2197397 und 2197428. Onapsis empfiehlt SAP-Kunden, diese so schnell wie möglich zu lesen und umzusetzen.
Enormes Gefahrenpotenzial
Die Sicherheitslücken setzen nach Einschätzung von Onapsis mehr als 10.000 SAP-Kunden, die unterschiedliche Versionen von SAP Hana betreiben, einem Risiko aus. Zu den Betroffenen gehören viele der größten Unternehmen aller Branchen, so unter anderen etwa aus den Sektoren Energie und Pharmazie sowie Behörden.
Experten schätzen, dass eine SAP-Datenpanne oder ein Ausfall eines SAP-Systems Organisationen viele Millionen Euro pro Minute Schaden verursachen können – zum Beispiel durch eine Unterbrechung der Produktion und des Vertriebs sowie durch den Verlust geistigen Eigentums und geschäftswichtiger Daten.
Das Ausnutzen von SAP-Hana-Schwachstellen könne die globale Wirtschaft erheblich beeinflussen, da diese Lücken Einfallstrassen für Angriffe auf Nationalstaaten, Industriespionage, finanziellen Betrug und Sabotage der wichtigsten Geschäftssysteme liefern, warnt Onapsis.
"Die nächste grosse Angriffswelle zielt auf geschäftswichtige Anwendungen auf der Basis von SAP und Oracle – für Cyber-Kriminelle sind dies die ultimativen Angriffsziele. Gleichzeitig sind es derzeit die größten Unbekannten für viele Chief Information Security Officer (CISO)", sagt Mariano Nunez, CEO von Onapsis.
"Die neuen kritischen Schwachstellen gehörten zu den gefährlichsten in Bezug auf den Schaden, den ein nicht authentifizierter Hacker darüber einem Unternehmen zufügen kann", so Nunez. "Werden sie ausgenutzt, kann jegliche von einem Hana-basierten System gespeicherte oder verwaltete Geschäftsinformation aufgerufen, verändert oder gelöscht werden", fügt Juan Perez-Etchegoyen, CTO von Onapsis, an. Das betreffe Kundendaten, Produktpreise, Finanzaussagen, Mitarbeiterinformationen, Lieferketten, Business Intelligence, geistiges Eigentum, Budget, Planungen und Forecasts. "Darüber hinaus können Hacker das System komplett herunterfahren oder vollständig übernehmen", warnt er.