US-Behörden weisen auf neue SAP-Exploits hin

Die amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat eine Warnung vor unsicher konfigurierten SAP-Systemen veröffentlicht. Der europäische Software-Hersteller SAP ist auf Lösungen für Unternehmen spezialisiert und einer der größten Anbieter weltweit. Nach Angaben der CISA können öffentliche verfügbare Exploit-Tools wie zum Beispiel „10KBLAZE“ dazu verwendet werden, über das Internet erreichbare SAP-Systeme anzugreifen.

Die Warnung basiert auf einer Präsentation der Sicherheitsexperten Dmitry Chastuhin und Mathieu Geli, die sie auf der im vergangenen Monat in Dubai in den Vereinigten Arabischen Emiraten (UAE) stattgefundenen Cyber-Sicherheitskonferenz OPCDE (Operation for Community Development and Empowerment) gehalten hatten. Wenn die Access Control Lists (ACLs) in von SAP bereitgestellten Gateways nicht richtig konfiguriert wurden, können Angreifer nach Angaben der beiden Experten Befehle auf Betriebssystemebene ausführen. Die Gateways werden für die Kommunikation von nicht von SAP stammenden Anwendungen mit SAP-Software benötigt.

Allein in den USA sollen knapp 900 gefährdete Systeme entdeckt worden sein. In Deutschland sind es laut der Präsentation „SAP Gateway To Heaven“ mehr als 200 betroffene Systeme, die nicht sicher vor Angreifern seien. Gefährdet sind zudem auch indische Unternehmen mit etwa 850 betroffenen Systemen und Firmen in China, wo die Sicherheitsexperten mehr als 350 Treffer landeten.

Darüber hinaus fanden Chastuhin und Geli allein in den USA fast 1.200 exponierte SAP-Router mit Verbindung zum Internet. Über ungenügend konfigurierte SAP-Router sei es möglich, Angriffe an interne Systeme weiterzuleiten. In Deutschland wurden mehr als 700 SAP-Router entdeckt, die über das Internet zugänglich waren. Ob alle diese Systeme auch anfällig für Angriffe sind, ist jedoch nicht bekannt. Darüber hinaus beschrieben die Experten auch eine Möglichkeit, SAP Message Server als MITM-Schnittstellen (Man-in-the-Middle) zu nutzen, um auf Application-Server zuzugreifen.

Zusammen mit Sicherheitsforschern von Onapsis hat die CISA eine Signatur für das verbreitete Netzwerk-Intrusion-System Snort entwickelt, die verwendet werden kann, um die bei möglichen Attacken verwendeten Exploits zu erkennen und zu stoppen.