Onapsis Research Lab: Neue Risiken für SAP und Oracle
Cross Site Scripting und Clickjacking bedrohen auch Kunden und Partner
Onapsis, globaler Experte für die Sicherheit geschäftskritischer Applikationen, beobachtet eine kontinuierliche Ausweitung der Risiken sowohl für SAP- als auch Oracle-Implementierungen. Onapsis verkündete unlängst neue Security-Advisories zu Schwachstellen in SAP-HANA- und SAP-Trex-Konfigurationen: Eine als kritisch eingestufte Schwachstelle erlaubt die Erlangung hoher Account-Privilegien, den uneingeschränkten Zugriff auf Geschäftsinformationen und die willkürliche Manipulation von Datenbankinformationen. Dazu gehören sensible Daten zu Kunden und Mitarbeitern. Zudem lieferte Onapsis mehrere Advisories zum Oracle Critical Patch Update (CPU) für Juli, der mit 276 Patches einen Rekordumfang erreichte. Die Bedrohungslage für Oracle-Lösungen steigt also kontinuierlich. Lücken in SAP- und Oracle-Implementierungen ermöglichen Angriffe wie Cross Site Cripting beziehungsweise Clickjacking. Solche Mechanismen zielen damit auf externe Besucher von Webseiten, wie Kunden oder Partner, ab.
Die von Onapsis in Zusammenarbeit mit SAP am 21. Juli bekannt gegebenen Schwachstellen stellen ein potentielles Risiko für mehr als 10.000 SAP-Kunden und Betreiber verschiedener SAP-HANA-Versionen dar. Eine kritische Schwachstelle für SAP-HANA-Systeme zum Beispiel ermöglicht mit einer Brute-Force-Attacke per Fernzugriff die Aneignung hoher Privilegien für HANA-Systeme und einen uneingeschränkten Zugriff auf jede beliebige Geschäftsinformation. Durch die Ausnutzung anderer Schwachstellen manipulieren Angreifer Audit-Log-Einträge, verschleiern Angriffe, erhalten Zugriff zu Dateien oder können sie manipulieren. Die Security Notes von SAP für den Monat Juli belegen neue kritische Schwachstellen, die für einen Denial-of-Service-Angriff auf den SAP Solution Manager oder SAP Sybase ausgenutzt werden können.
Problemzone SAP HANA
SAP HANA, ein Kernelement des SAP-Cloud-Angebotes, fungiert als Datenbanken- und Applikationsplattform der nächsten Generation. Es ermöglicht die Verwirklichung von Transaktionen, die prediktive Analyse von Informationen sowie die Analyse und Verarbeitung von Text- oder raumbezogenen Daten. Unternehmen können so in Echtzeit agieren. Als kritisch eingestufte Schwachstellen ermöglichen Cyber-Angreifern den Zugang zu unternehmenskritischen Informationen wie Kunden- und Mitarbeiterdaten, Preiskalkulationen, Supply Chain, Business Intelligence, Budgets, Planung und Forecasts.
„Allein die von den Softwareherstellern am 21. Juli vorgestellten Sicherheitsmeldungen beschreiben Risiken einer neuen und einzigartigen Qualität. Die meisten Lücken, die Angreifer ausnutzen können, werden nämlich oft unterschätzt, weil es nicht immer klar ist, wie eine technische Schwachstelle sich auswirkt“, betont Sebastian Bortnik, Head of Research bei Onapsis. „Der Schaden kann sich auch im Verborgenen abspielen. So generiert zum Beispiel eine der kritischen Schwachstellen zunächst eine Fehlermeldung und spielt damit Angreifern sensible Informationen über die betroffene Umgebung, die Anwender oder die dort verwalteten Daten zu.“
Angriffsmethode Clickjacking
Ein jüngst aufkommender Angriffsmechanismus im SAP-Umfeld ist Clickjacking. Besucher von Webseiten klicken nach erfolgter Manipulation bei ihrer Navigation auf den angegriffenen Webseiten auf verborgene Links oder Schaltflächen, und nicht auf die Menüpunkte, die sie vermeintlich ansteuern. Durch ihren Klick lösen sie stattdessen unerwünschte Aktionen auf dem Rechner des Kunden oder Partners, der die Webseite besucht, aus.
Gefahrenlage Oracle
Anlässlich der in den Oracle Critical Patch Updates für den Monat Juli 2016 verkündeten Patches stellt Onapsis eine Verschärfung der Gefahrenlage fest. Die Anzahl mit 276 Patches ist doppelt so hoch wie im letzten Update vom April 2016. Unter den Updates für Juli finden sich auch 15 nun geschlossene Schwachstellen, die das Onapsis Research Lab beim Software-Hersteller gemeldet hatte. Diese Lücken betrafen 49 verschiedene Oracle-Produkte. Besonders gefährlich ist die Tatsache, dass fast 60 Prozent der Schwachstellen per Fernzugriff ausgenutzt werden können. Angreifer haben also potentiell von jedem beliebigen Rechner im Netzwerk Zugriff. Elf der von den Onapsis Research Labs gemeldeten Schwachstellen für die Oracle E-Business Suite ermöglichen Cross Site Scripting. Über diese Lücken können Angreifer dem Website-Besucher Schadcode übertragen.
Die Onapsis Research Labs, ein Team von erfahrenen SAP-Sicherheits-Experten, bieten technische Analysen von Schwachstellen unter Beurteilung der möglichen Geschäftsauswirkungen und tiefgehende sowie umfassende Sicherheitsanleitungen. Das Expertenteam hat im Verlauf seiner Tätigkeit mehr als 300 SAP- und Oracle-Schwachstellen gemeldet und über 150 Advisories bereitgestellt, von denen über 35 SAP HANA betreffen. Die Experten arbeiten dabei eng mit den Produktsicherheitsteams bei SAP und Oracle zusammen.
Sicherheitsempfehlungen der Onapsis Research Labs geben technische Informationen über Schwachstellen und bewerten die Gefahr im betriebswirtschaftlichen Kontext. Die betroffenen Komponenten und die konkreten Auswirkungen auf das Geschäft werden beschrieben. Die Advisories liefern Anleitungen zur Lösung wie Downloads von Patches oder Maßnahmen zur Schließung der Lücken. Sprecher der Onapsis Research Labs referieren regelmäßig auf wichtigen Sicherheits- und SAP-Konferenzen.
Weitere Informationen im Rahmen eines Webcast am 18. August um 15 Uhr und um 20 Uhr MESZ. Registrierung unter: https://www.onapsis.com/understanding-critical-vulnerabilities-sap-hana.
