Gravierende Schwachstelle in SAP NetWeaver

Der russischer Sicherheitsforscher Alexander Polyakov von ERPScan hat eine gravierende Schwachstelle in der J2EE-Engine von SAP NetWeaver entdeckt, durch die Angreifer aus der Ferne neue Adminkonten anlegen können. Polyakov demonstrierte die Lücke während der Sicherheitskonferenz Black Hat in Las Vegas, indem er per Google nach einer bestimmten Zeichenkette suchte, wie sie typisch ist für das Management-Portal von SAP-Systemen.

Anschließend übergab er die gefundene URL an ein von ihm geschriebenes Perl-Skript, das den eigentlichen Angriff in zwei Stufen ausführte. Im ersten Schritt legte das Skript ohne weitere Authentifizierung einen neuen Nutzer an, der dann im zweiten Schritt zum Administrator erhoben wurde. Der anschließende Login am verwundbaren System funktionierte einwandfrei. Laut Polyakov funktioniert der Angriff auch, wenn die Zwei-Faktor-Authentifizierung (Passwort plus geheimer Schlüssel) aktiviert ist.

Das Skript will der Forscher drei Monate nach Veröffentlichung eines Updates freigeben, um Kunden genug Zeit zum Patchen zu lassen. Nach seiner Auskunft sind 50 Prozent aller SAP-Installationen weltweit von dem in der J2EE-Engine von SAP NetWeaver aufgetauchten Bug betroffen. Mehr Details über die Natur der Lücke wollte der Forscher nicht bekannt geben, solange SAP die Schwachstelle nicht per Softwareupdate beseitigt.

Dies sollte in den nächsten Tagen der Fall sein, wie ein SAP-Sprecher gegenüber diversen US-Medien bestätigte. Das Update würde im Rahmen der normalen Patch-Zyklen veröffentlicht und nicht außer der Reihe. Der Security Patch Day findet jeden zweiten Dienstag im Monat statt, ist also planmäßig morgen wieder an der Reihe. (rei)