10KBLAZE und SAP-Sicherheit I: Im Westen Nichts Neues

| @securityblog

10KBLAZE und SAP-SicherheitSeit dem 2. Mai 2019 gibt es für den SAP Security-Markt nur noch ein Gesprächsthema: der 10KBLAZE Exploit Baukasten, vor dem sogar die US-Behörde Homeland Security warnt. Wer genauer hinsieht merkt, allerdings schnell, dass es wenig Neues zu berichten gibt.

Das fängt schon bei den Sicherheitslücken an, die Teil des Baukastens sind. Ein Beispiel: Der SAP Gateway und die Dateien reginfo und secinfo. Die Standardeinstellung dieser Datei kann durch den 10KBLAZE-Baukasten tatsächlich ausgenutzt werden und erlaubt dann den Zugriff auf das Betriebssystem des Rechners, auf dem SAP läuft. Und das mit (fast) vollen Admin-Rechten. Das ist extrem gefährlich und bietet dort, wo diese Datei nicht geändert wurde, nicht nur ein Hintertürchen, sondern ein regelrechtes Scheunentor – eine herzliche Einladung für den geneigten Hacker sozusagen.

10KBLAZE: Fokus auf SAP Security

Aber diese „Lücke“ ist eben schon seit Jahren bekannt. 2012 war es die SAP selbst, die eine mögliche Ausnutzung öffentlich vorgeführt hat – um auf die Dringlichkeit hinzuweisen, diese Lücke so schnell wie möglich zu schließen.

Dass die Forscher, die 10KBLAZE aufgedeckt haben, dennoch mehr als 1.000 angreifbare SAP Router in den USA und über 700 in Deutschland gefunden haben, ist angesichts einer mehr als sieben Jahre alten Lücke ziemlich erschreckend. Allerdings sollte man auch diese Zahlen ins Verhältnis setzen: SAP gibt an, über 380 000 Kunden zu haben. Selbst wenn man die Cloud- und Hosting-Kunden abzieht, scheint sich die Anzahl der verwundbaren SAP-Installationen maximal im einstelligen Prozentbereich zu bewegen.

Dennoch gibt es einen gewichtigen Grund, den 10KBLAZE-Exploit ernst zu nehmen: Denn da es sich um ein Baukastensystem handeln soll, ist die Bedrohungslage natürlich eine komplett andere.

Sicherheitslücken in SAP-Systemen jetzt schließen und in Echtzeit überwachen

SAP-Kunden sollten also auf jeden Fall prüfen, ob ihr System eine der Sicherheitslücken aufweist (weitere Informationen dazu finden Sie auf der Seite des Homeland Security Departments). Sollte dies der Fall sein, ist es mit einer einfachen Parameter-Änderung leider nicht unbedingt getan. Gerade die oben angesprochene secinfo (und die zugehörige reginfo) sollten ja mit den Hostadressen gefüllt sein, die tatsächlich auf das SAP-System zugreifen können. Diese herauszufinden ist wiederum oft ein aufwendiges Unterfangen.

Unsere SAST SUITE bietet dazu – und für eine allgemeine Analyse der Sicherheitseinstellungen Ihres SAP-Systems – einige Module, die automatisiert den Sicherheitsstatus prüfen und bewerten. Darüber hinaus können Sie Ihr SAP-System in Echtzeit auf Sicherheitsrisiken überwachen. Wenn also jemand den Baukasten auf Ihrem System „ausprobiert“, wissen Sie als SAST-Kunde als Erster Bescheid.

Patrick Boch (Produktmanager SAST SOLUTIONS)
Patrick Boch (Produktmanager SAST SOLUTIONS)

Sie fühlen sich ertappt und wollen mehr über die umfassende Absicherung Ihrer SAP-Systeme erfahren? Dann schauen Sie Sie sich auf unserer SAST SOLUTIONS Website um oder nehmen Sie Kontakt zu uns auf: sast@akquinet.de

 

Diese Beiträge könnten Sie ebenfalls interessieren:

SAP-Systeme laut Studie besonders anfällig für Insider-Attacken

Schritt für Schritt: So sichern und härten Sie Ihr SAP Gateway