[Update] Ungepatchte SAP-Systeme angreifbar für Remote Code Execution

Wenn die im Rahmen des SAP Security Patch Day im März 2017 veröffentlichten Patches nicht umgehend eingespielt werden, droht die Kompromittierung zentraler Datenbestände, warnen SAP-Kenner.

In Pocket speichern vorlesen Druckansicht 14 Kommentare lesen
Ungepatchte SAP-Systeme angreifbar für Remote Code Execution
Lesezeit: 2 Min.
Von
  • Jürgen Seeger

An jedem zweiten Dienstag im Monat, dem sogenannten Security Patch Day, veröffentlicht der größte europäische Softwarehersteller eine Liste von sicherheitsrelevanten Patches und Updates – so auch am 14. März dieses Jahres. Wie brisant einige der 25 Security Notes dieser Liste sind, erläuterten auf der Konferenz Troopers Security noch einmal Spezialisten der niederländischen Firma ERPScan.

So ermöglicht eine Lücke in den SAP GUIs der Versionen 7.2 bis 7.5 das Einschleusen bösartigen ABAP-Codes unter Umgehen der Sicherheits-Policies. ABAP ist die Standard-Programmiersprache für SAP-Anwendungen. Ermöglicht wird die Remote Code Execution durch einen Fehler im Regelwerk der SAP-GUI: das Programm regsvr32.exe darf ohne Sicherheitsabfrage ausgeführt werden. (Abhilfe schafft Einspielen von Security Note 2407616.)

Laut ERPScan handelt es sich dabei um das gravierendste Sicherheitsproblem in der SAP-Software in den letzten Jahren. Sei der bösartige Code erst einmal eingespielt, habe ein Angreifer dadurch bei jeden Aufruf des SAP-GUI Zugriff auf die Geschäftsdaten sowie Konfiguration und Quellcode und könne sogar durch Ransomware den Betrieb stilllegen.

Auch die anderen im Rahmen des letzten Patch Day veröffentlichten – und gefixten – Lücken haben es in sich, sie betreffen unter anderem die Big-Data-Erweiterung HANA und Cross-Site-Scripting im Web-GUI.

Ein besonderes Problem im SAP-Umfeld sehen Sicherheitsspezialisten in der oft zögerlichen Reaktion auf bekannt gewordene Sicherheitslücken. Denn das zum Patchen oft notwendige Herunterfahren des Systems zieht unangenehme Störungen des Geschäftsbetriebs nach sich. So gab das US-CERT Ende 2016 eine Meldung über eine kritische Sicherheitslücke auf tausenden von SAP-Systemen heraus, die bereits 2010 veröffentlicht worden war. Wer allerdings die aktuellen Hinweise ignoriert, könnte sich bald mit einen durch Ransomware stillgelegten SAP-System konfrontiert sehen.

[Update]

SAP teilte dazu mit, dass es keine Anhaltspunkte dafür gebe, dass diese Lücke bei einem Anwender bereits ausgenutzt worden sei, und empfiehlt ebenfalls das sofortige Einspielen des Patches gegen die Lücke, die mit einem CVSS Rating von 8.0 versehen wurde: hoch, aber nicht sehr hoch.

[/Update] (js)