Exploit-Baukasten 10KBLAZE: Viele SAP-Systeme in Gefahr

Laut Sicherheitsexperten sind 9 von 10 SAP-Installationen auf Grund von Fehlkonfiguration und Sicherheitslücken angreifbar.

In Pocket speichern vorlesen Druckansicht 55 Kommentare lesen
SAP

SAP-Systeme sind oft falsch konfiguriert und dadurch angreifbar.

(Bild: dpa, Uwe Anspach)

Lesezeit: 2 Min.
Von
  • Fabian A. Scherschel

Viele SAP-Installationen sind anfällig für kritische Sicherheitslücken. Das Büro für Cybersicherheit und Digitale Infrastruktur (CISA) des US-Heimatschutzministeriums und die Sicherheitsfirma Onapsis warnen jetzt vor gesteigerten Gefahren durch Angriffe auf bekannte Sicherheitslücken und Fehlkonfigurationen in SAP-Systemen. Durch die Veröffentlichung eines Exploit-Baukastens namens 10KBLAZE ist es mittlerweile sehr einfach, entsprechende Systeme zu kompromittieren. Onapsis schätzt, dass 9 von 10 SAP-Installationen weltweit mit zusammen mehr als 50.000 Kunden betroffen sind.

10KBLAZE missbraucht eine Reihe von Sicherheitslücken und Fehlkonfigurationen bei SAP-Systemen. Das CISA listet in seiner Sicherheitsmeldung drei Haupt-Angriffspunkte auf. Oft sind Access Control Lists (ACLs) eines SAP-Gateways falsch konfiguriert, was dazu führt, dass nicht angemeldete Nutzer Befehle auf dem Betriebssystem ausführen können. Auch die Werkseinstellung der secinfo-Konfiguration des Gateways kann dazu missbraucht werden, Befehle aus der Ferne auszuführen. In bestimmten Situationen kann ein Angreifer einen SAP-Router dazu missbrauchen, Zugriff aus einem externen Netzwerk zu erlangen, was zur Ausführung von Schadcode aus dem öffentlichen Netz führen kann. Auf der Sicherheitskonferenz, auf der die 10KBLAZE-Tools veröffentlicht wurden, zeigten Sicherheitsforscher, wie sie knapp tausend für solche Angriffe verwundbare SAP-Router im Internet aufspüren konnten.

Auch die Standardeinstellungen des SAP Message Servers ist anfällig für Missbrauch. Ein Angreifer im SAP-Netzwerk mit Zugang zu einem solchen Server kann Man-in-the-Middle-Angriffe ausführen und sich auf diese Weise legitime Anmeldedaten verschaffen. Die können dann für weiterführende Angriffe benutzt werden, etwa um auf anderen Systemen im Netz Schadcode zu laden und auszuführen. Teilweise sind auch diese Server durch falsche Netzwerk-Konfiguration aus dem öffentlichen Internet zu erreichen.

Weitere Informationen zu den Angriffen und wie man sie entdeckt, finden sich in der CISA-Sicherheitsmeldung. Grundsätzlich empfiehlt die CISA neben einer Absicherung durch bessere Konfiguration der SAP-Komponenten auch das Einschränken von Zugriffsmöglichkeiten aus externen Netzen. "SAP-Systeme sind nicht dafür gemacht, dem Internet preisgegeben zu werden, da es sich um ein nicht vertrauenswürdiges Netzwerk handelt", schreibt die Behörde. (fab)