SAP-Produkte: CISA warnt vor Gefahren durch verschleppte Sicherheitsupdates
Die CISA und Forscher von Onapsis warnen vor Angriffsmöglichkeiten auf SAP-Produkte über sechs ältere Schwachstellen. Updates sind teils schon lange verfügbar.
(Bild: AFANASEV IVAN/Shutterstock.com)
Die US-Behörde CISA (Cybersecurity and Infrastructure Security Agency) warnt vor Gefahren für Unternehmen, die veraltete, lange nicht aktualisierte oder falsch konfigurierte SAP-Software verwenden. Sie verweist dazu auf einen zusammenfassenden Bericht, den Forscher der Sicherheitssoftware-Firma Onapsis in Abstimmung mit SAP zusammengestellt haben. Darin werden sechs konkrete Schwachstellen benannt, die besonders häufig für Angriffe verwendet werden.
Sowohl CISA als auch Onapsis raten dringend, zeitnah zu überprüfen, ob die eigenen Systeme die teils schon seit 2016, teils seit vergangenem Jahr verfügbaren Patches erhalten haben. Dem aktuellen CISA-Alert zufolge könnten Angreifer im schlimmsten Fall die vollständige Kontrolle über verwundbare SAP-Anwendungen erlangen. Mögliche Folgen einer solchen Kompromittierung seien beispielsweise der Diebstahl sensibler Daten, finanzielle Schäden/Betrug oder Unterbrechungen kritischer Geschäftsprozesse. Auch könnte nach einem erfolgreichen Einbruch Ransomware auf die Systeme geschleust werden.
Öffentlich verfügbarer Exploit-Code
Anlass für die aktuelle Warnung ist nicht etwa eine akute Angriffswelle. Vielmehr werden die sechs Schwachstellen laut Onapsis schon lange regelmäßig für aktive Angriffe missbraucht. Ihnen ist gemeinsam, dass Exploit-Code, häufig bei GitHub, öffentlich verfügbar ist. Auch lassen sie sich auf verschiedene Weise zu Exploit-Chains kombinieren, um im Anschluss an eine initiale Kompromittierung die Zugriffsmöglichkeiten der Angreifer auszuweiten.
Im Einzelnen sollten SAP-Admins, sofern noch nicht geschehen, mit Updates gegen folgende Schwachstellen nachrüsten, die Onapsis im Report mit den zugehörigen "Security Notes" im geschützten SAP-Kundenbereich verknüpft hat. Sie geben Auskunft über verwundbare Produkte, Versionen und Updates:
- CVE-2016-3976 (SAP NetWeaver AS JAVA, März 2016, Security Note #2234971
- CVE-2010-5326, Web-Zugriff auf versch. Anwendungen, Mai 2016, Security Note #1445998
- CVE-2016-9563 (SAP NetWeaver AS JAVA, August 2016, Security Note #2296909
- CVE-2018-2380, SAP CRM, März 2018, Security Note #2547431
- CVE-2020-6207, SAP Solution Manager, März 2020, Security Note #2890213
- CVE-2020-6287, NetWeaver AS JAVA, Juli 2020, Security Note #2934135
Weitere Details zu den Schwachstellen, aber auch zu weiteren empfohlenen Maßnahmen etwa zum Schutz von Nutzer-Accounts mit hohen Privilegien fasst der Onapsis-Report "Active Cyberattacks on Mission-Critical SAP Applications" zusammen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(ovw)