PricewaterhouseCoopers reagiert auf Security-Problem mit Unterlassungserklärung

Auf einen Hinweis auf ein Sicherheitsproblem einer Software zum Absichern von SAP-Systemen folgte eine Unterlassungserklärung des Herstellers PricewaterhouseCoopers. Die Sicherheitsforscher veröffentlichten das Problem trotzdem.

In Pocket speichern vorlesen Druckansicht 4 Kommentare lesen
Lesezeit: 2 Min.

Das Wirtschaftsprüfungs- und Beratungsunternehmen PricewaterhouseCoopers (PwC) hat eine Software entwickelt, die helfen soll, SAP-Installationen abzusichern. Der Automated Controls Evaluator (ACE) extrahiert Security-relevante Einstellungen aus dem SAP-System und bewertet diese dann. In diesem Security-Tool entdeckten Forscher der deutschen Sicherheitsfirma ESNC eine kritische Sicherheitslücke, die sie dem Hersteller im August diesen Jahres vertraulich meldeten.

Zunächst zeigte sich PwC auch durchaus interessiert und ließ sich die Natur der Schwachstelle genauer erklären. Auf spätere Nachfragen zum Stand der Dinge kam jedoch nicht etwa ein Patch, sondern ein anwaltliches Schreiben, das ihnen die Veröffentlichung von diesbezüglichen Informationen untersagte. Auf eine wiederholte Frage zu Update-Optionen und Patches mit dem Hinweis auf ein geplantes Security Advisory kam eine erneute Ermahnung:

PwC takes this matter seriously. We hereby demand that ESNC immediately confirm that it will not release a security advisory or similar information related to ACE [...] without authorization from PwC.

Doch ESNC blieb hart und veröffentlichte nach Ablauf der gesetzten Frist das Security Advisory zu der kritischen Lücke in PwC ACE. Es warnt vor einer Remote-Code-Execution-Schwachstelle, die ein SAP-System komplett kompromittieren kann. Als Bestandteil von ACE laufen spezielle ABAP-Module (Advanced Business Application Programming) auf dem SAP-Produktionssystem. Über das Web-Interface könnte ein Angreifer bösartigen ABAP-Shellcode in das System einschleusen, erklärte Ertunga Arsal von ESNC gegenüber heise Security. Dazu muss er als Benutzer am System angemeldet sein, kann dann aber etwa den Adminstrator-Account kapern, was PwC in einem Gespräch sogar demonstriert worden sei.

Betroffen von diesem Problem ist gemäß dem ESNC-Advisory die Version ACE 8.10.304 und "möglicherweise andere". Die Software wird offenbar vor allem von den PwC-Prüfern eingesetzt; wer ACE nutzt, sollte am besten Kontakt mit dem Hersteller aufnehmen, um sicherzustellen, dass sein System nicht gefährdet ist. Auf eine diesbezügliche Anfrage von heise Security reagierte PricewaterhouseCoopers bislang nicht. (ju)