zurück zum Artikel

Anlass der Sicherheitswarnung des Computer-Notfall-Teams der USA ist ein Bericht, demzufolge mindestens 36 Organisationen in der ganzen Welt über eine SAP-Lücke angegriffen und kompromittiert wurden.

Man mag es kaum glauben, aber die Ursache der aktuellen US-CERT-Warnung vor Angriffen auf SAP hat der Hersteller eigentlich bereits 2010 mit einem Update adressiert. Doch der Fix eines Java-Sicherheitsproblems wurde offenbar auf vielen Systemen nicht installiert.

Die Sicherheits-Experten von Onapsis entdeckten in chinesischen Foren Hinweise darauf, dass Firmen unter anderem aus den Vereinigten Staaten, Großbritannien und auch Deutschland über ein Sicherheitsloch in deren SAP-Systemen kompromittiert wurden. Die Angriffe verteilen sich über viele Branchen vom Stahlwerk bis hin zu Energieversorgern. Diese Hinweise waren offenbar konkret genug, um das Computer-Notfall-Team der USA zu veranlassen, eine Warnung vor Exploitation of SAP Business Applications [1] zu veröffentlichen.

Lösung: Abschalten

Die ausgenutzte Lücke betrifft die in SAP enthaltene Java Plattform; konkret stellt das Invoker Servlet [2] ein Einfallstor für Angreifer dar, das diese dazu nutzen können, um volle administrative Kontrolle über das SAP-System zu erlangen, erklärt Onapsis in einem Blog-Beitrag [3]. SAP hatte das Invoker Servlet deshalb mit einem Update 2010 deaktiviert. Wer ein SAP-System administriert, sollte sicherheitshalber die SAP Security Note 1445998 zu Disabling invoker servlet [4] lesen und sein System gegebenenfalls möglichst schnell umstellen. (ju [5])

URL dieses Artikels:
https://www.heise.de/-3207245

Links in diesem Artikel:
[1] https://www.us-cert.gov/ncas/alerts/TA16-132A
[2] http://help.sap.com/saphelp_nw70ehp2/helpdata/en/bb/f2b9d88ba4e8459e5a69cb513597ec/frameset.htm
[3] https://www.onapsis.com/threat-report-tip-iceberg-wild-exploitation-cyber-attacks-sap-business-applications
[4] http://service-notes.com/1445998.htm
[5] mailto:ju@ct.de

Copyright © 2016 Heise Medien