US-CERT warnt Betreiber von SAP-Systemen
Anlass der Sicherheitswarnung des Computer-Notfall-Teams der USA ist ein Bericht, demzufolge mindestens 36 Organisationen in der ganzen Welt über eine SAP-Lücke angegriffen und kompromittiert wurden.
Man mag es kaum glauben, aber die Ursache der aktuellen US-CERT-Warnung vor Angriffen auf SAP hat der Hersteller eigentlich bereits 2010 mit einem Update adressiert. Doch der Fix eines Java-Sicherheitsproblems wurde offenbar auf vielen Systemen nicht installiert.
Die Sicherheits-Experten von Onapsis entdeckten in chinesischen Foren Hinweise darauf, dass Firmen unter anderem aus den Vereinigten Staaten, Großbritannien und auch Deutschland über ein Sicherheitsloch in deren SAP-Systemen kompromittiert wurden. Die Angriffe verteilen sich über viele Branchen vom Stahlwerk bis hin zu Energieversorgern. Diese Hinweise waren offenbar konkret genug, um das Computer-Notfall-Team der USA zu veranlassen, eine Warnung vor Exploitation of SAP Business Applications zu veröffentlichen.
Lösung: Abschalten
Die ausgenutzte Lücke betrifft die in SAP enthaltene Java Plattform; konkret stellt das Invoker Servlet ein Einfallstor für Angreifer dar, das diese dazu nutzen können, um volle administrative Kontrolle über das SAP-System zu erlangen, erklärt Onapsis in einem Blog-Beitrag. SAP hatte das Invoker Servlet deshalb mit einem Update 2010 deaktiviert. Wer ein SAP-System administriert, sollte sicherheitshalber die SAP Security Note 1445998 zu Disabling invoker servlet lesen und sein System gegebenenfalls möglichst schnell umstellen. (ju)
