<img height="1" width="1" style="display:none;" alt="" src="https://dc.ads.linkedin.com/collect/?pid=380018&amp;fmt=gif">

Wie lassen sich die Risiken durch 10KBLAZE und andere SAP-Bedrohungen abfangen?

Published on 10.09.2019

Rund 90 % der geschätzten 1.000.000.000 SAP-Produktivsysteme weltweit laufen derzeit Gefahr, über den 10KBLAZE-Exploit gehackt zu werden. Wie schützen Sie sich vor diesem Risiko?

Ende April und Anfang Mai 2019 häuften sich Medienberichte über Sicherheitslücken in einer Reihe von SAP-Installationen, die von einem Exploit namens 10KBLAZE betroffen sein könnten. Obwohl es sich genau genommen nicht um eine Sicherheitslücke in den SAP-Anwendungen selbst, sondern vielmehr um eine Fehlkonfiguration handelt, kann sie eine Vielzahl von SAP-Anwendungen betreffen, wie SAP S/4HANA und grundsätzlich jede andere SAP-Anwendung, die auf den SAP NetWeaver-Stacks 7.0 bis 7.52 basiert.

Zwar gibt es seit mehr als 10 Jahren Empfehlungen, wie man diese SAP-Anwendungen richtig absichern kann, aber erst in den letzten Releases von SAP S/4HANA und SAP NetWeaver wurden diese Sicherheitsvorkehrungen standardmäßig aktiviert. Einige Sicherheitsforscher warnen nun davor, dass neun von zehn SAP-Anwendungen betroffen sein könnten.

Die Angriffsfläche macht es möglich, über das Netzwerk unbefugt auf anfällige Systeme remote zuzugreifen. Während es in der Regel nicht notwendig ist, diese Art von SAP-Anwendungen ungeschützten Netzwerken auszusetzen, sind allein in den USA offenbar mehrere hundert dieser Systeme über das Internet zugänglich. Wird der Exploit also ausgenutzt können SAP-Anwendungen kompromittiert und in der Folge Geschäftsdaten gestohlen, verändert und sogar gelöscht werden.

Welche SAP-Komponenten müssen Sie schützen?

Es gibt grundsätzlich drei Komponenten, die bei Fehlkonfiguration dem 10KBLAZE-Exploit ausgesetzt sind:

  1. SAP-Gateway: Das SAP-Gateway ermöglicht es Nicht-SAP-Anwendungen, mit SAP-Anwendungen zu kommunizieren. Das SAP-Gateway ist durch eine Access Control List (ACL) geschützt, jedoch erlaubt es anonymen Benutzern, Betriebssystembefehle auszuführen, wenn es nicht ordnungsgemäß konfiguriert ist.
  2. SAP Router: Der SAP Router hilft bei der Anbindung von SAP-Systemen an externe Netzwerke. Ein falsch konfigurierter SAP Router in Verbindung mit einer falschen SAP-Gateway-Konfiguration (insbesondere der standardmäßigen secinfo-Konfiguration) ermöglicht die Remote-Code-Ausführung unter Verwendung des Routers als Proxy.
  3. SAP Message-Server: Im Gegensatz zum SAP-Gateway vermittelt der SAP Message-Server die Kommunikation zwischen SAP-Anwendungen, insbesondere SAP Application Servern (AS). Ebenso wie das SAP-Gateway verfügt der Message Server über eine Access Control List, die die Kommunikation nur auf zugelassene Teilnehmer beschränken soll. Erlangt ein Angreifer aber Zugriff auf den Message Server kann er auf diesem Wege Man-in-the-Middle-Angriffe starten und so beliebigen Code oder Operationen auf SAP-Anwendungsservern ausführen.

Wie können Sie Ihren SAP Message Server und Ihr SAP-Gateway schützen?

Es gibt eine hilfreiche Anleitung zur Risikominimierung im Alert AA19-122A - New Exploits for Unsecure SAP Systems von der Cybersecurity and Infrastructure Security Agency (CISA):

  1. Beschränken Sie autorisierte Hosts über ACL-Dateien auf Gateways (gw/acl_mode und secinfo) und Message-Servern (ms/acl_info), wie in den SAP-Hinweisen 1408081 und 821875 beschrieben.
  2. Trennen Sie den internen und externen Zugriff auf Message-Server wie in SAP-Hinweis 1421005 beschrieben.
  3. Stellen Sie sicher, dass Sie Message-Server-Ports (TCP-Ports 39xx) nur für zugelassene Clients freigeben und verwenden Sie nach Möglichkeit Secure Network Communications (SNC). Überprüfen Sie Ihr Threat Prevention-System auf die neuesten Updates, um sicherzustellen, dass diese auch 10KBLAZE abdecken.

Woran hakt es?

Grundsätzlich gibt es hier zwei Herausforderungen. Auch wenn sich das Sicherheitsproblem relativ einfach beheben lässt, ist es besonders in großen SAP-Landschaften längst nicht so einfach, die tatsächlich betroffenen Systeme zu ermitteln. Darüber hinaus gilt es zu beachten, dass sich die oben beschriebenen Anpassungen nicht nur einfach vornehmen lassen, sie lassen sich ebenso einfach auch wieder zurücknehmen, sei es aus Versehen oder mit voller Absicht. Interessanterweise heißt auch der erste Eintrag der Gateway-FAQ im SAP-Wiki Disabling Gateway Security.

Damit diese Sicherheitsmaßnahmen auch langfristig greifen können, ist Compliance-Monitoring unerlässlich. Syslink Xandria  umfasst eine ganze Reihe von Überwachungsfunktionen, die sicherstellen, dass Sie nicht nur heute, sondern auch in Zukunft den Risiken von 10KBLAZE nicht ausgesetzt sind.

Syslink Xandria umfasst eine ganze Reihe von Überwachungsfunktionen, die sicherstellen, dass Sie nicht nur heute, sondern auch in Zukunft den Risiken von 10KBLAZE nicht ausgesetzt sind.

Syslink Xandria überprüft täglich jede einzelne SAP-Gateway- und SAP Message-Server-Konfiguration und benachrichtigt Sie umgehend, wenn dort uneingeschränkte ACL-Einstellungen oder unsichere secinfo-Einstellungen vorliegen. Dies alles geschieht vollautomatisch und erfordert keinen Konfigurationsaufwand. Die folgenden Bilder zeigen zwei Beispiele, von denen das erste auf eine potenzielle Sicherheitsbedrohung hinweist: 

Im zweiten Fall liegt eine ordnungsgemäße Konfiguration vor:

Im Falle von SAP Routern sind sichere Konfigurationen nicht ganz so einfach zu erkennen. Wenn es in Ihrem Unternehmen jedoch eine Richtlinie gibt, die die Verwendung von Wildcards im SAP Router Table verbietet, können Sie innerhalb weniger Minuten eine individuelle Überwachung einrichten, um Einblick in diese Tabellen zu erhalten.

Aber das ist noch längst nicht alles: Mit Syslink Xandria erhalten Sie eine Vielzahl weiterer Funktionen, die Sie bei den Themen Compliance, Governance, Audits und Sicherheit unterstützen:

  • Sie können jeden SAP-Profilparameter und jede Datenbankkonfiguration automatisch anhand einer vorgegebenen Richtlinie auswerten und erhalten bei jeder Abweichung von dieser Richtlinie eine Alarmmeldung.
  • Alle Administrator-Benutzer in einem SAP-System werden auf eine mögliche Sperrung überprüft, und jede Verwendung eines Standardpassworts wird gemeldet.
  • Auditprotokolle, Benutzerrechte und Benutzerprofile werden kontinuierlich nachverfolgt und mit den Richtlinien Ihres Unternehmens abgeglichen. Gleiches gilt für die Änderungsoptionen des SAP-Systems und die Einstellungen des SAP-Clients.
  • Jede wichtige Änderung in Ihrem SAP-System wird automatisch verfolgt und protokolliert.
  • Wenn eine genauere Überprüfung ansteht, können Sie jederzeit alle Profile innerhalb und zwischen den SAP-Systemlandschaften vergleichen.

Fazit

Es ist wichtig, rechtzeitig auf Sicherheitsbedrohungen wie 10KBLAZE zu reagieren, insbesondere wenn die potenziellen Auswirkungen wie in diesem Fall so gravierend sind. Aber es muss ebenso sichergestellt werden, dass die durchgeführten Anpassungen nicht wieder rückgängig gemacht werden. Syslink Xandria nimmt Ihnen dabei die Arbeit ab, indem es diese Art der Compliance- und Sicherheitsüberwachung weitestmöglich automatisiert.

Haben wir Ihr Interesse geweckt?

Sehen Sie sich unsere 15-minütige Demo an oder vereinbaren Sie einen Termin für Ihre persönliche Demo.


 

Post a Comment