SAP schließt Sicherheitslücken in In-Memory-Plattform HANA

SAP hat Updates für seine In-Memory-Plattform HANA veröffentlicht, die mehrere Schwachstellen beseitigen sollen. Der Sicherheitsdienstleister Onapsis spricht von insgesamt 21 Lücken, die sich aber teilweise nur durch eine Neukonfiguration schließen lassen. Der Großteil erlaubt Angreifern Fernzugriff ohne Authentifizierung.

Betroffen sind sämtliche HANA-basierten Cloudlösungen und Anwendungen, darunter auch die neue Suite S/4HANA, die inzwischen von rund 10.000 Unternehmen eingesetzt werden. Acht Lecks stuft Onapsis als kritisch ein, von denen sich sechs nur durch Änderungen an der Konfiguration beheben lassen. Sie ermöglichen es Angreifern, die vollständige Kontrolle über das System zu übernehmen und anschließend vertrauliche Daten zu löschen, zu ändern oder zu kopieren. Zudem könnten geschäftskritische Prozesse unterbrochen werden.

Von sechs weiteren Lücken geht ein hohes Risiko und von den restlichen sieben Schwachstellen ein mittleres Risiko aus. Die Sicherheitsprobleme sind zum Teil auf die TrexNet-Schnittstellen im Kern der HANA-Software zurückzuführen. TrexNet steuert die Kommunikation zwischen Servern in Hochverfügbarkeitsumgebungen. Dadurch sind auch S/4HANA und die HANA-Cloud-Plattform betroffen.

Weil sich einige der Schwachstellen nicht durch das Einspielen von Patches beheben lassen und auch der TrexNet-Service nicht heruntergefahren werden kann, müssen die Systeme in den meisten Fällen rekonfiguriert werden. SAP gibt dazu entsprechende Sicherheitshinweise.

Parallel empfehlen die Sicherheitsspezialisten von Onapsis, zunächst die TrexNet-Kommunikation korrekt zu konfigurieren. Sie müsse über Netzwerke stattfinden, die von Endanwendern isoliert sind und auf die von keinem anderen Netzwerk aus zugegriffen werden kann. Auf der Transportebene sei zudem eine Verschlüsselung und Authentifizierung erforderlich. Wenn lediglich eine SAP-HANA-Instanz eingerichtet sei, dürften alle TrexNet-Schnittstellen nur mit der Localhost-Netzwerkschnittstelle kommunizieren.

Darüber hinaus sollte der HTTP-Datenverkehr auf ungewöhnliche Aktivitäten überprüft werden, weil einige der kritischen Sicherheitslücken von legitimierten Anwendern und Hackern ausgenutzt werden können, um sich mit den verwundbaren Komponenten zu verbinden (SQL und HTTP). Unternehmen rät Onapsis außerdem dazu, über SIEM- oder GRC-Tools eine umfassende Informations-Sicherheitsstrategie zu gewährleisten.

Onapsis arbeitet eng mit SAP zusammen, um Patches für Lecks zu veröffentlichen, bevor diese einer breiteren Öffentlichkeit bekannt und aktiv ausgenutzt werden. Über die genannten Schwachstellen hatte der Sicherheitsanbieter den Walldorfer Softwarekonzern bereits im Februar informiert.

[mit Material von Martin Schindler, silicon.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de