Kommentar zum 10KBLAZE Exploit: SAP Admin = Mensch
Autor: Tobias Harmes | 8. Mai 2019
Der Umgang mit dem SAP Exploit namens 10KBLAZE (seit Heartbleed braucht man immer coole Namen) löst die eine oder andere Verunsicherung aus. Der von Herstellern angeschriebene CEO ruft den CIO her und der bestellt seine SAP Admins ein: wer hat hier geschlafen? Doch den SAP Admins die Schuld zu geben ist zu einfach.
Während in der SAP Security Community das Thema eher lauwarm gegessen wird, werden vor allem große Unternehmen in Deutschland aktiv von SAP Security Anbietern angesprochen, hier doch dringend etwas zu tun. Auch wir haben auf rz10.de über 10KBLAZE berichtet und dabei auch die in den USA veröffentlichten Aussagen „Laut Schätzungen können 9 von 10 SAP Systemen betroffen sein.“ übernommen.
SAP Security Check - Analyse Ihrer aktuellen Systemsicherheit
Wir verschaffen Ihnen einen klaren Einblick in die aktuelle Sicherheitssituation Ihres SAP-Systems - mit unserem SAP Security Check und Audit.
Wer hat recht?
Es ist wahr, dass der hier verwendete Exploit eigentlich überhaupt kein Problem sein dürfte. Und fairerweise in einer gut gewarteten SAP Landschaft auch kein Problem ist. Seit 2005 gibt es Empfehlungen von der SAP und spätestens seit EHP7 wird beim Upgrade die Gateway-Security mit aktiviert. Deshalb halte ich „9 von 10 Systemen“ zumindest in Deutschland für wenig realistisch. SAP kann da durchaus entspannt sagen: sie haben bereits alles Notwendige geliefert.
Eigentlich kein Problem, es sei denn…
Das Dilemma ist, dass viele große Unternehmen die Best Practices zur Trennung von Client und Servernetzen nie umgesetzt haben. Es gibt sehr viele Großkonzerne und Mittelständler, die keinerlei Firewalls oder sonstige Filter einsetzen, um den Zugriff von Clients auf Server (und Serverports) einzuschränken. Weil es auch schwer ist. Software Defined Networks, Virtuelle Umgebungen und ein Haufen VLANs. Statt passender Filterregeln gilt das Prinzip Hoffnung.
Und weil deshalb der SAP Gatway-Port 3300 und der interne Message-Server Port 3901 für alle erreichbar ist, kann damit wirklich jeder – vom Azubi bis zum Zulieferer – fröhlich das Exploit-Kit von Mathieu Geli und Dmitry Chastuhin von der OPCDE conference ausprobieren. Inklusive Video-Anleitung, benutzerfreundlich vom USB Stick aus. Und da reden wir noch nicht von den ernsthaften Innentätern, die auf Know-How-Abfluss oder Sabotage aus sind. Die nächste Entlassungswelle lässt grüßen.
Das Problem ist also nicht neu, das Problem ist nur sehr viel einfacher auszunutzen.
So bleibt es dann an den SAP – Admins hängen. Und das sollte eigentlich die letzte und nicht die einzige Verteidigungslinie gegen solche Exploits sein. Bei der Schlagzahl an neuen Systemen sind fehlerhafte und unvollständige Konfigurationen ziemlich sicher. Und SAP Admins sind auch nur Menschen. Kein Mensch kennt alle SAP Hinweise auswendig. Und Menschen machen Fehler.
Fazit
Ja, jeder SAP Kunde sollte jetzt Access Listen auf seine Message Server einrichten. Was zu tun ist, steht hier. Mit SIEM Tools wie SPLUNK kann man sogar das Message Server Log überwachen und Angriffsversuche aufspüren und alarmieren lassen. So kann man Innentäter aufspüren. Aber vor allem: Das interne Netzwerk ist nicht sicherer als das Internet. Lasst die SAP Systeme und deren Admins nicht weiter im Regen stehen. Das schafft niemand auf Dauer sicher zu halten.
Weitere Infos
Access Listen für Message Server: https://rz10.de/sap-berechtigungen/10kblaze-exploits-erhoehtes-risiko-fuer-ungesicherte-sap-systeme/#Empfehlungen
Securing Remote Function Calls (RFC) https://silo.tips/download/securing-remote-function-calls-rfc
RZ10.de Partnerprodukt Splunk als SIEM für SAP: https://rz10.de/angebot/splunk-als-siem-fuer-sap/