Cross Site Scripting und Clickjacking bedrohen auch Kunden und Partner.
Experte für die Sicherheit geschäftskritischer Applikationen beobachten eine kontinuierliche Ausweitung der Risiken sowohl für SAP- als auch Oracle-Implementierungen. Onapsis verkündete unlängst neue Security-Advisories zu Schwachstellen in SAP-HANA- und SAP-Trex-Konfigurationen: Eine als kritisch eingestufte Schwachstelle erlaubt die Erlangung hoher Account-Privilegien, den uneingeschränkten Zugriff auf Geschäftsinformationen und die willkürliche Manipulation von Datenbankinformationen. Dazu gehören sensible Daten zu Kunden und Mitarbeitern. Zudem lieferte der Spezialist mehrere Advisories zum Oracle Critical Patch Update (CPU) für Juli, der mit 276 Patches einen Rekordumfang erreichte. Die Bedrohungslage für Oracle-Lösungen steigt also kontinuierlich. Lücken in SAP- und Oracle-Implementierungen ermöglichen Angriffe wie Cross Site Scripting beziehungsweise Clickjacking. Solche Mechanismen zielen damit auf externe Besucher von Webseiten, wie Kunden oder Partner, ab.
Die von Onapsis in Zusammenarbeit mit SAP am 21. Juli bekannt gegebenen Schwachstellen stellen ein potenzielles Risiko für mehr als 10.000 SAP-Kunden und Betreiber verschiedener SAP-HANA-Versionen dar. Eine kritische Schwachstelle für SAP-HANA-Systeme zum Beispiel ermöglicht mit einer Brute-Force-Attacke per Fernzugriff die Aneignung hoher Privilegien für HANA-Systeme und einen uneingeschränkten Zugriff auf jede beliebige Geschäftsinformation. Durch die Ausnutzung anderer Schwachstellen manipulieren Angreifer Audit-Log-Einträge, verschleiern Angriffe, erhalten Zugriff zu Dateien oder können sie manipulieren. Die Security Notes von SAP für den Monat Juli belegen neue kritische Schwachstellen, die für einen Denial-of-Service-Angriff auf den SAP Solution Manager oder SAP Sybase ausgenutzt werden können.
Problemzone SAP HANA
SAP HANA, ein Kernelement des SAP-Cloud-Angebotes, fungiert als Datenbanken- und Applikationsplattform der nächsten Generation. Es ermöglicht die Verwirklichung von Transaktionen, die prediktive Analyse von Informationen sowie die Analyse und Verarbeitung von Text- oder raumbezogenen Daten. Unternehmen können so in Echtzeit agieren. Als kritisch eingestufte Schwachstellen ermöglichen Cyber-Angreifern den Zugang zu unternehmenskritischen Informationen wie Kunden- und Mitarbeiterdaten, Preiskalkulationen, Supply Chain, Business Intelligence, Budgets, Planung und Forecasts.
»Allein die von den Softwareherstellern am 21. Juli vorgestellten Sicherheitsmeldungen beschreiben Risiken einer neuen und einzigartigen Qualität. Die meisten Lücken, die Angreifer ausnutzen können, werden nämlich oft unterschätzt, weil es nicht immer klar ist, wie eine technische Schwachstelle sich auswirkt«, betont Sebastian Bortnik, Head of Research bei Onapsis. »Der Schaden kann sich auch im Verborgenen abspielen. So generiert zum Beispiel eine der kritischen Schwachstellen zunächst eine Fehlermeldung und spielt damit Angreifern sensible Informationen über die betroffene Umgebung, die Anwender oder die dort verwalteten Daten zu.«
Angriffsmethode Clickjacking
Ein jüngst aufkommender Angriffsmechanismus im SAP-Umfeld ist Clickjacking. Besucher von Webseiten klicken nach erfolgter Manipulation bei ihrer Navigation auf den angegriffenen Webseiten auf verborgene Links oder Schaltflächen, und nicht auf die Menüpunkte, die sie vermeintlich ansteuern. Durch ihren Klick lösen sie stattdessen unerwünschte Aktionen auf dem Rechner des Kunden oder Partners, der die Webseite besucht, aus.
Gefahrenlage Oracle
Anlässlich der in den Oracle Critical Patch Updates für den Monat Juli 2016 verkündeten Patches ist eine Verschärfung der Gefahrenlage festzustellen. Die Anzahl mit 276 Patches ist doppelt so hoch wie im letzten Update vom April 2016. Unter den Updates für Juli finden sich auch 15 nun geschlossene Schwachstellen, die das Onapsis Research Lab beim Softwarehersteller gemeldet hatte. Diese Lücken betrafen 49 verschiedene Oracle-Produkte. Besonders gefährlich ist die Tatsache, dass fast 60 Prozent der Schwachstellen per Fernzugriff ausgenutzt werden können. Angreifer haben also potenziell von jedem beliebigen Rechner im Netzwerk Zugriff. Elf der gemeldeten Schwachstellen für die Oracle E-Business Suite ermöglichen Cross Site Scripting. Über diese Lücken können Angreifer dem Website-Besucher Schadcode übertragen.
[1] Die Onapsis Research Labs, ein Team von erfahrenen SAP-Sicherheits-Experten, bieten technische Analysen von Schwachstellen unter Beurteilung der möglichen Geschäftsauswirkungen und tiefgehende sowie umfassende Sicherheitsanleitungen. Das Expertenteam hat im Verlauf seiner Tätigkeit mehr als 300 SAP- und Oracle-Schwachstellen gemeldet und über 150 Advisories bereitgestellt, von denen über 35 SAP HANA betreffen. Die Experten arbeiten dabei eng mit den Produktsicherheitsteams bei SAP und Oracle zusammen.
Sicherheitsempfehlungen der Onapsis Research Labs geben technische Informationen über Schwachstellen und bewerten die Gefahr im betriebswirtschaftlichen Kontext. Die betroffenen Komponenten und die konkreten Auswirkungen auf das Geschäft werden beschrieben. Die Advisories liefern Anleitungen zur Lösung wie Downloads von Patches oder Maßnahmen zur Schließung der Lücken. Sprecher der Onapsis Research Labs referieren regelmäßig auf wichtigen Sicherheits- und SAP-Konferenzen.
Onapsis Advisories finden sich unter: https://www.onapsis.com/research/advisories.
Indirekte Nutzung von SAP-Lizenzen: unkalkulierbare Kosten und Risiken
Führungskräfte unterschätzen das Gefahrenpotenzial von SAP-Cyber-Angriffen
Das Ende der 4-Zylinder – Lizenzierung von Oracle Database Standard eingebremst
Ab in die Cloud – aber richtig! 5 Tipps für Ihre Cloud-Strategie