Hacker haben es aktiv auf ungesicherte SAP-Installationen abgesehen, warnen DHS, SAP und Onapsis

Cyber Security News

Eine Gesamtansicht des Hauptsitzes der SAP AG in Walldorf, Deutschland. (Foto: Thomas Lohnes/Getty Images)

Mehrere Hacker haben es aktiv auf SAP-Installationen abgesehen, die seit fast einem Jahr nicht mehr aktualisiert wurden oder ein schlechtes Account-Management verwenden. Die Warnung, die vom Department of Homeland Security, SAP und Onapsis stammt, basiert auf Untersuchungen, die Aktivitäten in freier Wildbahn dokumentieren.

Wir wollen wirklich eine starke Botschaft an unsere Kunden senden, um die Sicherheit ihrer Systeme besser zu verwalten, wo sie es nicht getan haben”, sagte Tim McKnight, SAP Chief Security Officer, in einem Briefing für Reporter. “Das sind gepatchte Systeme, das sind Dinge, die bereits behoben wurden. Aber wir sind besorgt über Kunden, die die Fixes seit Monaten oder Jahren nicht mehr angewendet haben.”

Die Schwachstellen, die in der von Onapsis durchgeführten Untersuchung festgestellt wurden, wurden in der Vergangenheit von SAP gepatcht oder anderweitig gekennzeichnet. Sie sind jedoch immer noch ein wichtiger Teil des Hacker-Arsenals. Die Onapsis-Studie lief von Mitte 2020 bis zu diesem Monat, mit Einblick in eine begrenzte Anzahl von SAP-Installationen und beobachtete etwa 300 Versuche, in Systeme einzudringen.

SAP gehört zu den populärsten Softwareanbietern der Welt. Nach Angaben des Unternehmens nutzen 92 % der Forbes Global 2000 SAP, 91 % der Versorgungsunternehmen in den Global 2000, 82 % der gesamten medizinischen Geräte, 78 % des weltweiten Lebensmittelhandels und 44 Militärs. Auch wenn Onapsis und SAP nicht glauben, dass das Versäumnis, bekannte Probleme zu patchen oder zu entschärfen, weit verbreitet ist, ist die Basis des Unternehmens so groß – 400.000 Kunden – dass selbst ein kleiner Prozentsatz ungesicherter Systeme große Probleme verursachen könnte.

“Ein wichtiger Punkt ist, dass wir nicht über eine Schwachstelle oder eine Fehlkonfiguration sprechen, die ausgenutzt wird”, sagte Onapsis-CEO Mariano Nunez auf dem Briefing, wobei er jedes Mal das “a” betonte. “Wir sprechen über sieben verschiedene Bedrohungsvektoren, die unserer Meinung nach von böswilligen Parteien genutzt werden, um speziell auf SAP-Anwendungen loszugehen.”

“Wir sprechen nicht über eine Art einsamen Wolf, der es auf ungeschützte SAP-Systeme abgesehen hat, wir sprechen nicht über einen öffentlichen Exploit, der für eine Massenausbeutung genutzt wurde, wir sprechen über Bedrohungsakteure mit großen Fähigkeiten in Bezug auf Angriffe auf geschäftskritische SAP-Anwendungen”, fügte er hinzu.

Onapsis sieht zwei Haupttypen von Aktivitäten, die in großem Umfang versucht werden: Ketten von oder einzelne gepatchte Schwachstellen und Fehlkonfigurationen. Zu den Fehlkonfigurationen gehören Brute-Force-Angriffe auf unveränderte Standard-Kontonamen, um Zugriff auf Anwendungsebene zu erhalten. SAP warnte die Anwender, diese Kontonamen im Jahr 2018 zu ändern. Hacker nutzten auch CVE-2020-6287 und CVE-2016-3976, um den gleichen Grad an Zugriff zu erhalten. Von dort aus konnten Hacker CVE-2018-2380 oder CVE-2016-9563 verwenden, um Zugriff auf Betriebssystemebene zu erhalten.

Bei zwei Dritteln der Einbruchsversuche wurde CVE-2010-5326 verwendet, um Zugriff auf Betriebssystemebene zu erhalten. Und zwei verschiedene Sicherheitslücken ermöglichten den Zugriff auf laterale Server – CVE-2020-6207 und CVE-2016-3976.

Ein Ergebnis der Studie ist, dass Netzwerkverteidiger nach der Veröffentlichung eines Patches möglicherweise weniger Zeit zum Patchen haben, als sie denken. Onapsis sah Scans für die zuletzt gepatchte Schwachstelle, CVE-2020-6207, fast drei Monate bevor ein Exploit veröffentlicht wurde.

“Wir haben gesehen, dass SAP-Exploits zum Beispiel innerhalb von 72 Stunden aktiv gescannt wurden, nachdem ein SAP-Patch verfügbar war”, so Nunez.

Onapsis beobachtete, dass Angreifer Systeme patchen, nachdem sie Backdoors installiert hatten, um die Illusion von Systemen zu erzeugen, die gegen ihren spezifischen Angriff immun sind.

Aufgrund der Art der für den Angriff ausgewählten Ziele geht Onapsis davon aus, dass wahrscheinlich Kriminelle und keine Nationalstaaten die Einbrüche vornehmen.

Onapsis und SAP empfehlen SAP-Kunden gemeinsam, alle Systeme zu überprüfen, die nicht umgehend gepatcht wurden, nach nicht autorisierten Benutzern mit hohen Rechten zu suchen und Anwendungen in der SAP-Umgebung auf Risiken zu überprüfen.

“Wir halten es für klug, die Kunden erneut zu benachrichtigen, wenn sie ein so langes Zeitfenster mit ungepatchten Systemen offen gelassen haben, was eine Möglichkeit ist. Wir wollen, dass sie sich bewusst sind, was die Kunst des Möglichen in Bezug auf eine potenzielle Ausnutzung oder Kompromittierung sein könnte”, sagte Richard Puckett, Chief Information Security Officer von SAP.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com