Fast alle SAP-Installationen weisen kritische Sicherheitslücken auf. Das Büro für Cybersicherheit und Digitale Infrastruktur (CISA) des Heimatschutzministeriums der USA warnt jetzt zusammen mit der Sicherheitsfirma Onapsis vor erhöhter Gefahr durch Angriffe auf bekannte Sicherheitslücken und unsichere Konfigurationen in SAP-Systemen.
Der Exploit-Baukasten 10KBLAZE
Inzwischen ist es recht einfach geworden, SAP-Systeme zu kompromittieren, denn dabei hilft der kürzlich veröffentlichte Exploit-Baukastens mit dem Namen 10KBLAZE. Onapsis schätzt, dass 9 von 10 SAP-Installationen weltweit mit insgesamt mehr als 50.000 Kunden betroffen sind.
10KBLAZE kennt eine ganze Reihe von Sicherheitslücken und Fehlkonfigurationen bei solchen SAP-Systemen. Das CISA nennt in seiner Sicherheitswarnung drei Haupt-Angriffspunkte:
Die Haupt-Angriffsvektoren
Fehlkonfigurierte Access Control Lists (ACLs) eines SAP-Gateways lassen nicht angemeldete Nutzer Befehle auf dem Betriebssystem ausführen
Selbst die Werkseinstellung der secinfo-Konfiguration des Gateways kann dazu missbraucht werden, Befehle aus der Ferne auszuführen.
In speziellen Situationen können Angreifer einen SAP-Router dazu missbrauchen, Zugriff aus einem externen Netzwerk zu erlangen, wodurch es zur Ausführung von Schadcode aus dem öffentlichen Netz kommen kann.
Auch die Standardeinstellung des SAP Message Servers birgt Sicherheitsrisiken. Ein Angreifer im SAP-Netzwerk mit Zugriff auf einen solchen Server kann Man-in-the-Middle-Angriffe ausführen und sich so gültige Anmeldedaten verschaffen.
Die kann er dann für weiterführende Angriffe benutzen, um beispielsweise auf andere Systeme im Netz Schadcode zu übertragen und auszuführen. Zum Teil sind diese Server auch durch falsche Netzwerk-Konfiguration aus dem öffentlichen Internet erreichbar.
