Der Exploit-Baukasten 10KBLAZE wurde veröffentlicht und stellt eine Gefahr für den Großteil aller SAP-Systeme dar. Das Büro für Cybersicherheit und Digitale Infrastruktur (CISA) aus den USA verkündete am 02.Mai 2019 eine öffentliche Warnmeldung für die SAP-Systeme.
10KBLAZE – Die Bedrohung
Experten der Onapsis schätzen das ca. 90% aller SAP-Systeme von den Sicherheitslücken betroffen sind. 10KBLAZE missbraucht Fehlkonfigurationen innerhalb der SAP-Systeme, sodass z.B. ein unauthorisierter Benutzer Befehle ausführen kann, für die er keine Berechtigung hat. Dies kann eintreten, wenn die SAP-Gateways falsch konfiguriert sind. Genau dieser Angriff ist einer der drei Haupt-Angriffsarten von denen die CISA berichtet. Selbst die Werkseinstellung der secinfo-Konfiguration des Gateways, lässt es zu Befehle aus der Ferne auszuführen.
Auch die Standardeinstellungen des SAP Message Servers sind ein möglicher Angriffspunkt der Hacker – die Einstellungen lassen einen Man-in-the-Middle-Angriff zu. Für diesen Angriff muss sich der Angreifer lediglich in dem SAP-Netzwerk befinden und kann sich dadurch weitere Anmeldedaten verschaffen. Dies geschieht indem der Täter Nachrichten mitliest und verfälscht, sodass er in fremden Nachrichten genannte Anmeldedaten einfach missbrauchen kann.
Wie schütze ich mich vor 10KBLAZE?
Die CISA empfiehlt die Konfigurationen der einzelnen SAP-Komponenten abzusichern, sodass fremder Zugriff nicht erfolgen kann. Die unsicheren Standardeinstellungen sollten manuell überprüft und korrigiert werden. Grundsätzlich sollte das SAP-System so wenig wie möglich mit dem Internet verbunden sein, dazu äußerte sich Fabian A. Scherschel von heise-online: “SAP-Systeme sind nicht dafür gemacht, dem Internet preisgegeben zu werden, da es sich um ein nicht vertrauenswürdiges Netzwerk handelt.”
Hintergrundinformationen: Wer ist SAP?
SAP ist ein Softwareunternehmen aus Deutschland mit dem ausgeschriebenen Namen Systeme, Anwendungen und Produkte in der Datenverarbeitung. Das in Walldorf ansässige Unternehmen stellt mit ca. 335.000 Kunden und 12.000.000 Anwendern (laut Wikipedia) den Marktführer in Deutschland dar und gilt als einer der größten Softwareentwickler weltweit. Genau aus diesem Grund ist eine Sicherheitslücke so brisant. Allgemein erstellt und installiert das Unternehmen Software für andere Unternehmen, die sämtliche Geschäftsprozesse vereinfachen und digitalisieren soll.
