Recon: Sicherheitslücke verschafft Hackern Administratorrechte für SAP-Server

SAP hat ein Sicherheitsupdate veröffentlicht, das eine kritische Anfälligkeit in seiner Software beseitigt. Die als Recon bezeichnete Schwachstelle wurde bereits im Mai von der Cloud-Sicherheitsfirma Onapsis entdeckt und dem Walldorfer Softwarehaus gemeldet. Cyberkriminelle können unter Umständen ein SAP-Nutzerkonto mit allen Rechten für über das Internet erreichbare SAP-Anwendungen anlegen, was ihnen die vollständige Kontrolle über alle SAP-Ressourcen eines Unternehmens geben würde.

Betroffen sind alle SAP-Anwendungen, die auf SAP NetWeaver Java basieren. Der eigentliche Fehler steckt indes in der Komponente LM Configuration Wizard, die zum SAP NetWeaver Application Server (AS) gehört.

Diese Komponente kommt bei vielen SAP-Produkten zum Einsatz, darunter SAP S/4 HANA, SAP SCM, SAP CRM, SAP Enterprise Portal und SAP Solution Manager (SolMan). Aber auch andere SAP-Anwendungen, die den NetWeaver Java Technology Stack ausführen, sind angreifbar. Onapsis schätzt, dass Systeme von rund 40.000 SAP-Kunden betroffen sind.

Der Sicherheitsanbieter betont, dass nicht alle Kunden Anwendungen so konfiguriert haben, dass sie über das Internet erreichbar sind. Bei eigenen Scans fand Onapsis rund 2500 SAP-Systeme, die dieses Kriterium erfüllen und anfällig für den Recon-Bug sind.

Den Patch sollten SAP-Kunden so schnell wie möglich einspielen. Laut Onapsis handelt es sich um eine der wenigen Sicherheitslücken, die im zehnstufigen Common Vulnerability Scoring System (CVSS) mit zehn Punkten bewertet werden. Das bedeutet, dass Recon leicht und ohne technische Kenntnisse sogar für automatisierte Angriffe ausgenutzt werden kann. Auch werden keine gültigen Anmeldedaten benötigt.

Die Patches sind über das v von SAP abrufbar. Ungeschützte Systeme erlauben es den Sicherheitsforschern zufolge, vertrauliche Daten und sogar Informationen über proprietäre Technologien zu stehlen. Auch Cybersecurity and Infrastructure Agency des US Department of Homeland Security warnt inzwischen vor den Risiken der Sicherheitslücke.

Ähnliche schwerwiegende Bugs wurden zuletzt auch in Anwendungen von Palo Alto Networks und F5 entdeckt. Auch Oracle, Citrix und Juniper beseitigten zuletzt Schwachstellen mit hohen Sicherheitsbewertungen.