Sapsiwai - Fotolia

Acht Security-Schwachstellen in SAP-Systemen offengelegt

Positive Technologies hat mehrere Schwachstellen in SAP-Anwendungen offengelegt. Diese erlauben zum Beispiel das Offline-Schalten eines ERP-Servers.

SAP-Systeme kommen in Hunderttausenden von Organisationen zum Einsatz. Die Enterprise-Anwendungen von SAP sind so alltäglich, dass das Ausnutzen von Sicherheitslücken verheerende Folgen hat. Der Security-Anbieter Positive Technologies hat nun acht Schwachstellen in SAP-Software offengelegt, die das gesamte System kompromittieren können.

Die entdeckten Schwachstellen erlauben Angreifern unter anderem den Zugriff auf ERP-Datenbanken, das Offline-Schalten eines ERP-Servers und die Eskalation von Systemprivilegien. Die acht Schwachstellen wurden bereits Anfang 2017 durch die Sicherheitsexperten von Positive Technologies entdeckt.

Die gefährlichste Sicherheitslücke betrifft die Entwicklungsumgebung Web Dynpro Flash Island, die zur Erstellung von SAP-Webanwendungen eingesetzt wird. Die fehlende XML-Validierung erlaubte es einem nicht im SAP-System angemeldeten Angreifer, einen XXE-Angriff auszuführen. Ist dieser erfolgreich, kann er lokale Dateien vom SAP-Server erhalten (zum Beispiel Encryption Keys und andere kritische Daten). Angreifer könnte außerdem einen Denial-of-Service-Angriff (DoS-Angriff) starten, um den SAP-Server offline zu schalten.

Die sieben weiteren Schwachstellen erweisen sich laut Positive Technologies zwar als weniger schwerwiegend, können aber bei erfolgreicher Ausnutzung ernsthaften Schaden anrichten. Zu den weiteren aufgedeckten Schwachstellen zählen unter anderem:

  • In der Benutzeroberfläche des SAP Composite Application Framework Authorization Tool und der SAP NetWeaver Web Services Configuration UI fehlt die XML-Validierung. Das ermöglicht es bei einer erfolgreichen Attacke, alle Dateien auf dem Server auszulesen und die Administrator-Zugangsdaten zu stehlen.
  • Die fehlende XML-Validierung im SAP Enterprise Portal und in SAP NetWeaver Web Services Configuration UI erlaubt einem erfolgreichen internen Angreifer den Zugriff auf Dateien mit Betriebssystempasswörter-Hashes sowie sichere Storage-Dateien und SAP-Schlüssel. Angreifer außerhalb des lokalen Netzwerks können allerdings keinen Netzwerkzugriff auf das Betriebssystem und die Datenbank erlangen. Sie können aber Berechtigungsnachweise verwenden, um Konten auf andere offene Dienste zu hacken oder einen DDoS-Angriff zu starten.
  • Über einen Offenlegungsfehler in SAP Business Process Management können Angreifer im Rahmen eines gezielten Angriffs auf eine Liste der SAP-Anwender zugreifen und auch andere Schwachstellen ausnutzen, zum Beispiel das Erraten von Benutzerkennwörtern.

Laut SAP arbeitet das Softwareunternehmen eng mit Sicherheitsexperten zusammen, um Schwachstellen so früh wie möglich zu finden und zu beheben. Die von Positive Technologies in einigen SAP-Produkten festgestellten Probleme wurden durch Patches behoben, die Anfang des Jahres veröffentlicht wurden. SAP empfiehlt allen Kunden, aktuelle Sicherheitshinweise zu lesen und Updates rechtzeitig zu installieren.

Die Patches für die acht erkannten Schwachstellen sind:

Sicherheitshinweis 2369541 betrifft die fehlende XML-Validierung im SAP Enterprise Portal (CVSS-Score 6,5).

Sicherheitshinweis 2372188 betrifft die Offenlegungsfehler in Business Process Management (CVSS-Score 5.3).

Sicherheitshinweis 2392509 bezieht sich auf die XSS-Schwachstelle im Styleservice des SAP Enterprise Portal (CVSS-Score 5.4).

Sicherheitshinweis 2417046 behebt die XSS-Schwachstelle in der SAP NetWeaver Monitoring-Anwendung (CVSS-Score 6.1).

Sicherheitshinweis 2410082 bezieht sich auf die fehlende XML-Validierung in Web Dynpro Flash Island (CVSS-Score 7,5).

Sicherheitshinweis 2372301 betrifft die fehlende XML-Validierung im SAP Composite Application Framework Authorization Tool (CVSS-Score 4.9).

Die fehlende XML-Validierung in der SAP NetWeaver Web Services Configuration UI (CVSS-Score 5.4 beziehungsweise CVSS-Score 3.8) wird über die Sicherheitshinweise 2400292 beziehungsweise 2406918 abgedeckt.

Folgen Sie SearchEnterpriseSoftware.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Sicherheitslücke in SAP-Systemen – Update häufig nicht installiert.

Die Zuständigkeit für SAP-Sicherheit befindet sich oft im Niemandsland.

Security-Tutorial für SAP: In zehn Schritte zu mehr SAP-Sicherheit.

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über SAP-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchDataCenter.de

Close