SAP warnt vor Sicherheitslücken

Forscher von Onapsis und SAP haben davor gewarnt, dass kritische Schwachstellen in ungepatchten SAP-Anwendungen von Cyber-Angreifern weltweit ausgenutzt werden. Beide Unternehmen veröffentlichten gemeinsam einen Bericht über die Aktivitäten, bei denen Sicherheitslücken mit CVSS-Severity-Scores von bis zu 10, der höchstmöglichen Stufe, als Waffe eingesetzt werden.

SAP-Anwendungen werden von schätzungsweise 400.000 Unternehmen weltweit eingesetzt. Während SAP keine direkten kundenbezogenen Verstöße aufgrund dieser Aktivitäten bekannt sind, wurde festgestellt, dass es mindestens 1.500 SAP-Anwendungsbezogene Angriffsversuche gab, die zwischen Juni 2020 und März 2021 verfolgt wurden, von denen mindestens 300 erfolgreich waren. Der gemeinsame Bericht besagt, dass unter anderem Enterprise-Resource-Planning-, Customer-Relationship-Management-Software und Supply-Chain-Systeme ins Visier genommen werden.

Die kritischen Schwachstellen, die ausgenutzt werden, werden nach Angaben der Unternehmen jedoch nur unzureichend geschlossem. In einigen Fällen sind anfällige SAP-Anwendungen mit Fehlern behaftet, die seit Monaten oder sogar Jahren ungepatched bleiben.

Insbesondere sechs Sicherheitslücken werden in dem Bericht als aktiv ausgenutzt bezeichnet:

CVE-2020-6287: CVSS: 10

Auch als RECON bekannt, wurde dieser per Fernzugriff ausnutzbare Fehler in SAP NetWeaver/Java durch eine fehlgeschlagene Authentifizierungsprüfung verursacht. Es sind keine Privilegien erforderlich, und bei Ausnutzung führt diese Schwachstelle zur Erstellung von Administratorkonten und zum vollständigen System-Hijacking.

Ein Patch wurde am 14. Juli 2020 veröffentlicht, aber Onapsis sagt, dass die Angriffsaktivitäten, die diesen Fehler ausnutzen, bis heute andauern.

CVE-2020-6207: CVSS 10

Dieser kritische Fehler, der SAP Solution Manager (SolMan) Version 7.2 betrifft, ermöglicht es Angreifern, die volle administrative Kontrolle über den Hub der SAP-Installation eines Unternehmens zu erlangen.

Proof-of-Concept (PoC) Code wurde für die Sicherheitslücke veröffentlicht, nachdem SAP am 10. März 2020 einen Patch veröffentlicht hatte. Exploit-Versuche haben seit der Veröffentlichung des funktionierenden PoC-Exploit-Codes „signifikant zugenommen“.

CVE-2018-2380: CVSS 6.6

Diese ältere Schwachstelle betrifft die SAP NetWeaver-basierte CRM-Lösung des Anbieters und kann zur Privilegienerweiterung und zum Ausführen von Befehlen genutzt werden, was unter Umständen eine laterale Bewegung durch ein Unternehmensnetzwerk ermöglicht. Ein Patch wurde am 1. März 2018 veröffentlicht.

CVE-2016-9563: CVSS 6.4

Diese im August 2016 gepatchte Schwachstelle betrifft eine Komponente in SAP NetWeaver/JAVA Version 7.5 und führt zu Remote-, aber Low-Privilege-authentifizierten Angriffen.

CVE-2016-3976: CVSS 7.5

Diese ebenfalls in SAP NetWeaver/JAVA gefundene Sicherheitslücke, die im März 2016 gepatcht wurde, ermöglicht entfernten Angreifern das Lesen beliebiger Dateien über Verzeichnis-Traversal-Sequenzen, was zu Informationslecks und möglicherweise zu einer Privilegienerweiterung führt, wenn sie auf die richtigen Ressourcen zugreifen können.

CVE-2010-5326: CVSS 10

Eine kritische Sicherheitslücke, die durch einen Authentifizierungsfehler im Invoker Servlet innerhalb von SAP NetWeaver Application Server/JAVA-Plattformen verursacht wird. Die Sicherheitslücke ermöglicht es Angreifern, die volle Kontrolle über SAP-Geschäftsprozesse zu erlangen. Im Jahr 2016 gab das US Department of Homeland Security (DHS) eine Warnung über die aktive Ausnutzung dieses Fehlers heraus, die bis heute anhält.

Darüber hinaus heißt es in dem Bericht, dass das Zeitfenster für das Patchen „deutlich kleiner ist als bisher angenommen“, wobei einige SAP-Schwachstellen in weniger als 72 Stunden nach der öffentlichen Bekanntgabe zur Waffe werden.

„Eine beobachtete Ausnutzung könnte in vielen Fällen zur vollständigen Kontrolle über die ungesicherte SAP-Anwendung führen, gängige Sicherheits- und Compliance-Kontrollen umgehen und es Angreifern ermöglichen, sensible Informationen zu stehlen, finanziellen Betrug zu begehen oder geschäftskritische Prozesse zu stören, indem sie Ransomware einsetzen oder den Betrieb stoppen“, so die Unternehmen. „Diese Bedrohungen können auch Auswirkungen auf die Einhaltung gesetzlicher Vorschriften für Unternehmen haben, die ihre SAP-Anwendungen, die regulierte Daten verarbeiten, nicht richtig abgesichert haben.“