Unter den im Dezember von der SAP geschlossenen Sicherheitslücken sind 3 Hot News mit Common Vulnerability Scoring System > 9.0 dabei. Schließen Sie diese Schwachstellen unverzüglich und spielen Sie die bereitgestellten Korrekturanleitungen so schnell wie möglich in Ihre SAP-Systeme ein!
SAP Sicherheit
SAP Patchday November: 4 Security Notes mit Scoring über 9.0 – wir fassen für Sie die wichtigsten Keyfacts zusammen
Vier hochkritische Sicherheitslücken – jeweils bewertet mit dem Common Vulnerability Scoring System auf > 9.0 – sind im November von der SAP geschlossenen worden. Dies zeigt einmal mehr, dass es unbedingt erforderlich ist, sich monatlich mit den Ergebnissen des SAP Patchdays zu beschäftigen.
Handeln Sie daher umgehend, minimieren Sie die Sicherheitsrisiken und spielen Sie regelmäßig die Security Notes in Ihre SAP-Systeme ein!
Cross-Site-Scripting (XSS) Sicherheitslücke im SAP NetWeaver Knowledge Management – handeln Sie sofort!
Es existiert eine neue kritische Sicherheitslücke, die erst in der Novemberausgabe des SAP-Patchdays offiziell bekannt gegeben wird: die SAP Security Note 2928635 (CVE-2020-6284) ist eine Cross-Site-Scripting Sicherheitslücke (XSS) im SAP NetWeaver Knowledge Management.
Reagieren Sie sofort und beheben Sie die Schwachstelle!
Verlieren Sie nicht den Überblick – ein Security-Dashboard schafft Transparenz für alle SAP-Systeme
Auch im DSAG-Arbeitskreis Security & Vulnerability sind sie immer wieder ein vieldiskutiertes Thema: fehlende SAP Security Management-Dashboards. Der Arbeitskreis sieht derartige Tools als zentrale Voraussetzung, um zwingend erforderliche bessere Sicherheitskonzepte zu entwickeln und zu überwachen. Doch noch immer setzt ein Großteil aller Unternehmen die Security-Dashboard-Technologie nicht ein. Dabei wäre das gerade jetzt, aufgrund der zunehmenden Bedrohungslage durch Malware und Ransomware, ein sehr effizientes Tool, um Angriffe zu vermeiden.
Interview mit Ralf Kempf: Sichere Transformation auf S/4HANA
Ralf Kempf, CTO SAST SOLUTIONS, hat mit seinem Team bereits viele Unternehmen bei der Migration auf SAP S/4HANA begleitet. Über Erfolgsrezepte äußerte er sich im Gespräch mit Ulrich Parthier, Herausgeber it management.
Lesen Sie hier gekürzte Auszüge aus dem Gespräch.
Code-Injection-Schwachstelle im Batch Input Recorder RSBDCREC in SAP NetWeaver (ABAP) und ABAP-Plattform – Schließen Sie die Sicherheitslücke!
Mit dem Hinweis 2941667 hat die SAP am 08.09.20 eine hoch kritische Schwachstelle im Batch Input Recorder via Direktaufruf von Programm RSBDCREC bekanntgegeben. Hiervon betroffen sind alle Systeme mit SAP-Basis Release 700 bis 755, also auch aktuellere Releases. Reagieren Sie schnell, damit kein schädliches Coding in Ihre SAP-Systeme eindringt!
Sicherheitslücke im SAP NetWeaver AS Java ermöglicht Angreifern die volle Kontrolle über SAP-Systeme – Reagieren Sie jetzt!
Seit kurzem ist bekannt, dass es eine der schwerwiegendsten Sicherheitslücken seit Jahren in aktuellen SAP-Produkten gibt, die den SAP Java-Applikationsserver nutzen – eine Konfigurationsoberfläche, die in vielen SAP-Systemen eingesetzt wird. Die Schwachstelle mit der offiziellen Bezeichnung CVE-2020-6287 ist auf einen Fehler im SAP NetWeaver Application Server zurückzuführen und wird als höchstkritisch eingestuft.
Bereinigung von RFC-Schnittstellen – Gastbeitrag bei RZ10
RFC-Schnittstellen werden bei Audits immer wieder als potenzielles Sicherheitsrisiko entlarvt. Angreifer könnten über die Schnittstellen an sensible Daten im SAP-System kommen. Unternehmen sollten daher regelmäßig die RFC-Schnittstellen bereinigen und optimieren. Welche Wege und Tools sich für die systemübergreifende Absicherung – sowohl für SAP ERP- als auch S/4HANA-Umgebungen – eignen, erfahren Sie in unserem Gastbeitrag bei RZ10.
Vulnerability Scan, Audit oder Penetrationstest: Finden Sie die für sich passende Methode zum Aufzeigen von Schwachstellen
Um das Gefährdungspotenzial von SAP-Landschaften beurteilen zu können und potenzielle Angriffspunkte zu ermitteln, gibt es unterschiedliche Maßnahmen. Dabei den Überblick zu behalten, ist gar nicht so einfach. Das Angebot reicht von Schwachstellenscans über Audits bis hin zu Penetrationstests. Welcher Ansatz jedoch der passende ist, um Schwachstellen aufzuzeigen, hängt ganz von Ihren individuellen Anforderungen ab.
SAP Home goes rogue – Angriffsszenarien über die SAP GUI, die verhindert werden können
Im Regelfall werden Unternehmensnetzwerke durch menschliche Fehler infiziert. Mitarbeiter klicken auf einen gefälschten Link, teilen ihr Passwort versehentlich Dritten mit oder öffnen eine Datei, die ungeahnten Schadcode enthält. Bei Angriffsszenarien über die SAP GUI ist dem Mitarbeiter häufig kein Vorwurf zu machen, denn ein falsch konfiguriertes SAP-System reicht aus, um die IT-Landschaft schädigen zu können.