Kritische Cyber-Sicherheitslücken bei SAP HANA

Alle SAP HANA-basierten Applikationen betroffen, auch SAP S/4HANA und SAP Cloud-Lösungen.

Ein global agierender Experte für die Cyber-Sicherheit geschäftswichtiger SAP- und Oracle- Unternehmensapplikationen [1] hat 21 neue Sicherheitsempfehlungen (Security Advisories) veröffentlicht, die eine beispiellose Zahl von Sicherheitslücken beschreiben. Diese betreffen alle SAP-HANA-basierten Applikationen – auch SAP S/4HANA und SAP Cloud-Lösungen auf der Basis von HANA. Onapsis Research Labs hebt in seinen Sicherheitsempfehlungen acht als »critical risks« eingestufte Schwachstellen hervor. Sechs davon betreffen konstruktive Schwachstellen in SAP HANA, die sich nur über Änderungen in der Systemkonfiguration entschärfen lassen. Es ist das erste Mal, dass Empfehlungen mit dem höchsten Risiko für SAP HANA veröffentlich wurden. Zudem handelt es sich dabei um die bisher höchste Zahl an bisher bekannt gegebenen Sicherheitslücken für SAP HANA.

Unterbleiben die notwendigen Systemkonfigurationen, können nicht authentifizierte Angreifer die vollständige Kontrolle über verwundbare SAP-HANA-Systeme übernehmen sowie Geschäftsinformationen stehlen, löschen oder ändern. Darüber hinaus sind sie in der Lage, die gesamte SAP-Plattform herunterzufahren oder geschäftliche Schlüsselprozesse zu unterbrechen.

Neue Risiken

Die neuen veröffentlichten HANA-Sicherheitsempfehlungen betreffen acht kritische Schwachstellen, sechs davon mit hohem Risiko und sieben mit einem mittleren Risiko. Viele der kritischen Schwachstellen stehen in Verbindung mit den TrexNet-Schnittstellen im Kern der HANA-Software, die die Kommunikation zwischen Servern in Hochverfügbarkeits-Umgebungen steuern und großvolumige Geschäfte unterstützen. Da SAP HANA sich zur Basistechnologie für alle SAP-Applikationen inklusive S4/HANA und SAP HANA Cloud-Plattform entwickelt und auch ein umfassendes Angebot an mobilen Applikationen von Drittanbietern unterstützt, wächst die Angriffsfläche exponentiell mit unterschiedlichen Auswirkungen auf die Geschäfte.

grafik onapsis security patches sap hana

bild (c) onapsis

Die SAP-Sicherheitsexperten von Onapsis Research Labs haben mit hunderten Global-2000-Unternehmen zusammengearbeitet, um die Auswirkungen dieser und anderer schwerwiegender Sicherheitslücken mithilfe des »Business Risk Illustration«-Tools (BRI) zu ermitteln. Dieser Service analysiert effizient Bedrohungen, die die Verfügbarkeit, Integrität und Vertraulichkeit von SAP-Geschäftsdaten und -Prozessen betreffen.

Die wichtigsten Empfehlungen für den CISO

Einige dieser Schwachstellen lassen sich nicht durch das Einspielen von Patches beheben und der betroffene TrexNet-Service kann dann nicht heruntergefahren werden. Eine saubere, korrekt implementierte Rekonfiguration des Systems ist in diesen Fällen die einzige Abwehrmöglichkeit. Zusätzlich zum Verarbeiten der veröffentlichten SAP-Sicherheitshinweise empfiehlt Onapsis Research Labs SAP-Kunden folgende Schritte:

  • Schritt 1: TrexNet-Kommunikation korrekt konfigurieren: Datenübertragung ist essenziell für die Funktion von SAP HANA in Hochverfügbarkeitsumgebungen. Diese Kommunikation muss über Netzwerke stattfinden, die von Endanwendern isoliert sind und auf die von keinem anderen Netzwerk aus zugegriffen werden kann. Zudem ist sicher zu stellen, dass auf der Transportebene sowohl eine Verschlüsselung als auch eine Authentifizierung sauber installiert sind. Wenn nur eine SAP-HANA-Instanz eingerichtet ist, dürfen alle TrexNet-Schnittstellen nur mit der Localhost-Netzwerkschnittstelle kommunizieren.
  • Schritt 2: Überwachen der Benutzeraktivität: Einige der kritischen Sicherheitslücken können von legitimierten Anwendern und Hackern ausgenutzt werden, die versuchen, sich mit den verwundbaren Komponenten zu verbinden (SQL und HTTP). Der HTTP-Datenverkehr ist auf ungewöhnliche Aktivitäten ebenso zu überprüfen wie die HTTP- und die SQL-Logs auf auffällige Eingaben.
  • Schritt 3: Detection und Response: Wichtig ist auch im Bereich SAP eine umfassende Informations-Sicherheitsstrategie. Nur dies stellt ein durchgängiges Monitoring von SAP- und SAP-HANA-Systemen sicher und liefert relevante Echtzeitinformationen an vorhandene SIEM- oder GRC-Tools.

Die verbleibenden kritischen Sicherheitslücken, die nicht in Verbindung mit dem TrexNet-Protokoll stehen, sollten entsprechend den SAP Security Notes gepatched werden. Für die beschriebenen Schwachstellen hat SAP folgende Security Notes veröffentlicht: 2165583, 2148854, 2175928, 2197397 und 2197428. Onapsis empfiehlt SAP-Kunden, diese so schnell wie möglich zu lesen und umzusetzen.

Enormes Gefahrenpotenzial

Die Sicherheitslücken setzen über 10.000 SAP-Kunden, die unterschiedliche Versionen von SAP HANA betreiben, einem potenziellen Risiko aus. Zu den Betroffenen gehören viele Forbes-Global-2000-Unternehmen aller Branchen, so unter anderen etwa aus den Sektoren Energie und Pharmazie sowie Behörden. Experten schätzen, dass eine SAP-Datenpanne oder ein Ausfall eines SAP-Systems Organisationen viele Millionen Euro pro Minute Schaden verursachen können – zum Beispiel durch eine Unterbrechung der Produktion und des Vertriebs sowie durch den Verlust geistigen Eigentums und geschäftswichtiger Daten. Das Ausnutzen von SAP-HANA-Schwachstellen kann die globale Wirtschaft erheblich beeinflussen, da diese Lücken Einfallstraßen für Angriffe auf Nationalstaaten, Industriespionage, finanziellen Betrug und Sabotage der wichtigsten Geschäftssysteme liefern.

»Die nächste große Angriffswelle zielt auf geschäftswichtige Anwendungen auf der Basis von SAP und Oracle – für Cyber-Kriminelle sind dies die ultimativen Angriffsziele. Gleichzeitig sind es derzeit die größten Unbekannten für viele Chief Information Security Officer (CISO). SAP-bezogene Datenpanne stehen aber mehr und mehr im Fokus der Öffentlichkeit, wie die veröffentlichte Datenpanne rund um das USIS zeigt, einen Anbieter von Recherchen für DHS und OPM [2]«, sagt Mariano Nunez, CEO von Onapsis. »Onapsis ist deshalb als SAP-Partner darum bemüht, eng mit SAP und seinen Kunden zusammenzuarbeiten, damit sie ihre unternehmenskritischen Daten und Geschäftsprozesse absichern und geschäftliche, ihre Organisation betreffende Risiken verringern können. Auf Basis unserer führenden Untersuchungen veröffentlicht SAP Sicherheits-Patches und -Richtlinien, so dass Kunden geschützt werden können. Wir tragen damit unseren Teil dazu bei, so gut wie möglich große Datenpannen zu vermeiden, die großen Auswirkungen für SAP-Kunden haben können. So ermöglichen wir es den Kunden, den Wert ihrer SAP HANA-Investition auszuschöpfen.«

Onapsis-Kunden, die die fortschrittlichen Advanced Threat Protection-Dienste der Onapsis Security Platform (OSP) nutzen, sind bereits ab Entdeckung der Schwachstellen gegen diese Bedrohungen geschützt. Dies hilft ihnen, sich gegen Zero-Day-Sicherheitslücken zu schützen. Außerdem können sie mit dieser Lösung Funktionen einrichten, mit denen sich diese schwer zu behebenden Schwachstellen kontrollieren lassen.

»Es ist offensichtlich, dass die Industrie die Cyber-Security für SAP-Systeme ernst nimmt. Die neuen kritischen Schwachstellen gehören zu den gefährlichsten in Bezug auf den Schaden, den ein nicht authentifizierter Hacker darüber einem Unternehmen zufügen kann. Werden sie ausgenutzt, kann jegliche von einem HANA-basierten System gespeicherte oder verwaltete Geschäftsinformation aufgerufen, verändert oder gelöscht werden. Das betrifft Kundendaten, Produktpreise, Finanzaussagen, Mitarbeiterinformationen, Lieferketten, Business Intelligence, geistiges Eigentum, Budget, Planungen und Forecasts. Darüber hinaus können Hacker das System komplett herunterfahren oder vollständig übernehmen«, sagt Juan Perez-Etchegoyen, CTO von Onapsis.

[1] SAP- und Oracle-»Security Threat Intelligence«-Meldungen werden von Onapsis Research Labs erstellt, einem Team von Sicherheitsexperten, die mithilfe umfangreicher Kenntnis und Erfahrung technische Analysen in einem geschäftlichen Kontext liefern und dem Markt fundierte Sicherheitsbewertungen bereitstellen. Das Team arbeitet eng mit den Produktsicherheitsteams von SAP und Oracle zusammen, um die Informationen schnell an die Kunden weitergeben zu können. Onapsis Research Labs hat bis heute über 250 Empfehlungen veröffentlicht, von denen über 35 SAP HANA betreffen. Außerdem haben die Experten mehrere Hundert Unternehmenskunden von Onapsis beraten und präsentieren regelmäßig auf führenden IT-Sicherheits- und SAP-Konferenzen weltweit. Onapsis hat als erstes Unternehmen »SAP Security In-Depth«-Publikationen veröffentlicht, die detaillierte Analysen von Sicherheitsrisiken beschreiben, die SAP und SAP HANA betreffen. Die neuste Ausgabe »SAP Security In-Depth, Volume XII: System Security Review Part 1« ist jetzt als Download erhältlich unter:
https://www.onapsis.com/research/publications/volume-xii-sap-hana-system-security-review-part-1.
Details jeder Empfehlung lassen sich im Onapsis Blog nachlesen, der auch Referenzen zu den SAP Security Notes, CVSS-Bewertungen, die Relevanz von identifizierten Schwachstellen für erkannte Schwachstellen, eine Beschreibung der betroffenen Komponenten und Schritte zur Lösung liefert.
Weitere Informationen:
  • Onapsis Security Blog unter https://www.onapsis.com/blog
  • Sicherheitsempfehlungen: https://www.onapsis.com/research/advisories
[2] Anmerkung: Ministerium für Heimatschutz (Department of Homeland Security, DHS) und das Büro für Personalmanagement (Office of Personnel Management, OPM) der US-Bundesregierung