Das Büro für Cybersicherheit und Digitale Infrastruktur (CISA) des Heimatschutzministeriums der USA warnt zusammen mit den Sicherheitsforschern von Onapsis Research Lab vor Exploits für mehrere Konfigurationsfehler in Lösungen des deutschen Softwarehherstellers SAP aus Walldorf.
Die mit 10KBLAZE bezeichneten Exploits wurden kürzlich veröffentlicht und nehmen mehrere technische Komponenten von SAP-Software ins Visier. Nach Angaben der Forscher sind davon 90 Prozent der produktiv in Unternehmen eingesetzten SAP-Systeme betroffen.
Die Angriffsvektoren im Einzelnen
Der Exploit-Baukasten 10KBLAZE kennt viele Sicherheitslücken und Fehlkonfigurationen bei solchen SAP-Systemen. Das CISA nennt in der Sicherheitswarnung drei Haupt-Angriffspunkte:
Falsch konfigurierte Access Control Lists (ACLs) von SAP-Gateways lassen nicht angemeldete Benutzer Befehle auf dem Betriebssystem ausführen. Sogar die Werkseinstellung der secinfo-Konfiguration des Gateways kann zu dem Zweck missbraucht werden, Befehle aus der Ferne auszuführen.
In besonderen Situationen können die Angreifer einen SAP-Router dazu missbrauchen, aus externen Netzwerken Zugriff auf die SAP-Installation zu bekommen, wobei es dann auch zur Ausführung von Schadcode aus dem öffentlichen Netz kommen kann.
Selbst die Standardeinstellung des SAP Message Servers zeigt Sicherheitsrisiken. Ein Angreifer im SAP-Netzwerk, der Zugriff auf einen solchen Server hat, kann Man-in-the-Middle-Angriffe ausführen und sich auf diesem Weg gültige Anmeldedaten verschaffen.
Diese kann er dann für weiterführende Angriffe nutzen, um zum Beispiel auf anderen Systemen im Netz Schadcode abzuspeichern und dann auch auszuführen. Teilweise sind diese Server auch wegen falscher Netzwerk-Konfiguration aus dem öffentlichen Internet erreichbar.
