Das zum US-Heimatschutzministerium gehörende Computer Emergency Readiness Team (CERT) warnt vor Angriffen auf eine rund sechs Jahre alte Sicherheitslücke in Business-Software von SAP. Der Fehler steckt in einer Invoker Servlet genannten Funktion des SAP NetWeaver Application Server Java System, die bereits 2010 gepatcht wurde. Laut CERT sind veraltete und falsch konfigurierte SAP-Systeme aber weiterhin angreifbar.
Angreifbar sind der Warnmeldung zufolge Business-Anwendungen, die auf der SAP-Java-Plattform laufen. Da die SAP-Anwendungsschicht anfällig sei, trete der Fehler unabhängig vom verwendeten Betriebssystem und der Datenbank-Applikation auf, die das SAP-System unterstütze. Ein Angreifer erhalte unter Umständen aus der Ferne und ohne Authentifizierung vollständigen Zugriff auf die betroffenen SAP-Plattformen, was ihm eine vollständige Kontrolle der Geschäftsinformationen und –prozesse auf diesem System erlaube.
Die Sicherheitswarnung des CERT enthält auch eine Liste mit SAP-Anwendungen, die auf der SAP-Java-Plattform aufbauen. Dazu gehören SAP Enterprise Resource Planning, SAP Product Lifecycle Management, SAP Customer Relationship Management, SAP Supply Chain Management und SAP Business Intelligence.
Betroffene Unternehmen sollten die SAP Security Note 1445998 umsetzen und das Invoker Servlet deaktivieren. Weitere Details liefert der Forschungsbericht von Onapsis. Demnach benötigt ein Hacker lediglich einen Browser sowie Domain, Hostname und IP-Adresse des anzugreifenden SAP-Systems. Die Liste der 36 angreifbaren Firmen soll schon seit 2013 in einem in China registrierten Internetforum kursieren.
Die neuen HPE-Server der Generation 10 bieten einen erweiterten Schutz vor Cyberangriffen. Erfahren Sie in unserem Webinar, warum HPE-Server die sichersten Industrie-Standard-Server der Welt sind und wie Sie ihr Unternehmen zu mehr Agilität verhelfen. Jetzt registrieren und Aufzeichnung ansehen.
Die betroffenen Firmen befinden sich oder gehören zu Konzernen aus China, Deutschland, Großbritannien, Indien, Japan, Südkorea und den USA. Darunter sind Telekommunikationsanbieter, Kraftwerke, Einzelhändler, Stahl- sowie Öl- und Gaskonzerne. Onapsis zufolge wurden sie bereits in Zusammenarbeit mit dem US-CERT über die mögliche Bedrohung informiert.
Ein Sprecher des Walldorfer Softwarehauses betonte, dass das Invoker Servlet bereits 2010 durch einen Patch deaktiviert wurde. „Alle seitdem veröffentlichen SAP-Anwendungen sind frei von dieser Anfälligkeit.“ Da derartige Konfigurationsänderungen Probleme mit kundeneigener Software verursachten, sei die Funktion in Releases von SAP NetWeaver vor Version 7.20 nicht deaktiviert worden.
[mit Material von Zack Whittaker, ZDNet.com]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
