Das zum US-Heimatschutzministerium gehörende Computer Emergency Readiness Team (CERT) warnt vor Angriffen auf eine rund sechs Jahre alte Sicherheitslücke in Business-Software von SAP. Der Fehler steckt in einer Invoker Servlet genannten Funktion des SAP NetWeaver Application Server Java System, die bereits 2010 gepatcht wurde. Laut CERT sind veraltete und falsch konfigurierte SAP-Systeme aber weiterhin angreifbar.
Angreifbar sind der Warnmeldung zufolge Business-Anwendungen, die auf der SAP-Java-Plattform laufen. Da die SAP-Anwendungsschicht anfällig sei, trete der Fehler unabhängig vom verwendeten Betriebssystem und der Datenbank-Applikation auf, die das SAP-System unterstütze. Ein Angreifer erhalte unter Umständen aus der Ferne und ohne Authentifizierung vollständigen Zugriff auf die betroffenen SAP-Plattformen, was ihm eine vollständige Kontrolle der Geschäftsinformationen und –prozesse auf diesem System erlaube.
Die Sicherheitswarnung des CERT enthält auch eine Liste mit SAP-Anwendungen, die auf der SAP-Java-Plattform aufbauen. Dazu gehören SAP Enterprise Resource Planning, SAP Product Lifecycle Management, SAP Customer Relationship Management, SAP Supply Chain Management und SAP Business Intelligence.
Betroffene Unternehmen sollten die SAP Security Note 1445998 umsetzen und das Invoker Servlet deaktivieren. Weitere Details liefert der Forschungsbericht von Onapsis. Demnach benötigt ein Hacker lediglich einen Browser sowie Domain, Hostname und IP-Adresse des anzugreifenden SAP-Systems. Die Liste der 36 angreifbaren Firmen soll schon seit 2013 in einem in China registrierten Internetforum kursieren.
Die neuen HPE-Server der Generation 10 bieten einen erweiterten Schutz vor Cyberangriffen. Erfahren Sie in unserem Webinar, warum HPE-Server die sichersten Industrie-Standard-Server der Welt sind und wie Sie ihr Unternehmen zu mehr Agilität verhelfen. Jetzt registrieren und Aufzeichnung ansehen.
Die betroffenen Firmen befinden sich oder gehören zu Konzernen aus China, Deutschland, Großbritannien, Indien, Japan, Südkorea und den USA. Darunter sind Telekommunikationsanbieter, Kraftwerke, Einzelhändler, Stahl- sowie Öl- und Gaskonzerne. Onapsis zufolge wurden sie bereits in Zusammenarbeit mit dem US-CERT über die mögliche Bedrohung informiert.
Ein Sprecher des Walldorfer Softwarehauses betonte, dass das Invoker Servlet bereits 2010 durch einen Patch deaktiviert wurde. „Alle seitdem veröffentlichen SAP-Anwendungen sind frei von dieser Anfälligkeit.“ Da derartige Konfigurationsänderungen Probleme mit kundeneigener Software verursachten, sei die Funktion in Releases von SAP NetWeaver vor Version 7.20 nicht deaktiviert worden.
[mit Material von Zack Whittaker, ZDNet.com]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Das o1 genannte Modell liegt als Preview vor. Bei einer Mathematikprüfung beantwortet es 83 Prozent…
Das Kennzeichen erhalten Zoom Workplace Pro und Zoom Workplace Basic. Es bescheinigt unter anderem aktuelle…
iOS und iPadOS erhalten Tab-Gruppen. Zudem unterstützt Chrome nun die Synchronisierung von Tab-Gruppen.
Sie befürchten einen Missbrauch der Identitäten von Verstorbenen. 60 Prozent befürworten deswegen eine Klärung des…
In einigen Unternehmensbereichen sind angeblich bis zu 30 Prozent der Beschäftigten betroffen. Samsung spricht in…
Sie erlauben eine Remotecodeausführung. Betroffen sind alle unterstützten Versionen von Adobe Reader und Acrobat für…
