Tobias Harmes
 - 8. Mai 2019

Kommentar zum 10KBLAZE Exploit: SAP Admin = Mensch

Der Umgang mit dem SAP Exploit namens 10KBLAZE (seit Heartbleed braucht man immer coole Namen) löst die eine oder andere Verunsicherung aus. Der von Herstellern angeschriebene CEO ruft den CIO her und der bestellt seine SAP Admins ein: wer hat hier geschlafen? Doch den SAP Admins die Schuld zu geben ist zu einfach.

Während in der SAP Security Community das Thema eher lauwarm gegessen wird, werden vor allem große Unternehmen in Deutschland aktiv von SAP Security Anbietern angesprochen, hier doch dringend etwas zu tun. Auch wir haben auf rz10.de über 10KBLAZE berichtet und dabei auch die in den USA veröffentlichten Aussagen “Laut Schätzungen können 9 von 10 SAP Systemen betroffen sein.” übernommen.

Wer hat recht?

Es ist wahr, dass der hier verwendete Exploit eigentlich überhaupt kein Problem sein dürfte. Und fairerweise in einer gut gewarteten SAP Landschaft auch kein Problem ist. Seit 2005 gibt es Empfehlungen von der SAP und spätestens seit EHP7 wird beim Upgrade die Gateway-Security mit aktiviert. Deshalb halte ich “9 von 10 Systemen” zumindest in Deutschland für wenig realistisch. SAP kann da durchaus entspannt sagen: sie haben bereits alles Notwendige geliefert.

Eigentlich kein Problem, es sei denn…

Das Dilemma ist, dass viele große Unternehmen die Best Practices zur Trennung von Client und Servernetzen nie umgesetzt haben. Es gibt sehr viele Großkonzerne und Mittelständler, die keinerlei Firewalls oder sonstige Filter einsetzen, um den Zugriff von Clients auf Server (und Serverports) einzuschränken. Weil es auch schwer ist. Software Defined Networks, Virtuelle Umgebungen und ein Haufen VLANs. Statt passender Filterregeln gilt das Prinzip Hoffnung.

Und weil deshalb der SAP Gatway-Port 3300 und der interne Message-Server Port 3901 für alle erreichbar ist, kann damit wirklich jeder – vom Azubi bis zum Zulieferer – fröhlich das Exploit-Kit von Mathieu Geli und Dmitry Chastuhin von der OPCDE conference ausprobieren. Inklusive Video-Anleitung, benutzerfreundlich vom USB Stick aus. Und da reden wir noch nicht von den ernsthaften Innentätern, die auf Know-How-Abfluss oder Sabotage aus sind. Die nächste Entlassungswelle lässt grüßen.

Das Problem ist also nicht neu, das Problem ist nur sehr viel einfacher auszunutzen.

So bleibt es dann an den SAP – Admins hängen. Und das sollte eigentlich die letzte und nicht die einzige Verteidigungslinie gegen solche Exploits sein. Bei der Schlagzahl an neuen Systemen sind fehlerhafte und unvollständige Konfigurationen ziemlich sicher. Und SAP Admins sind auch nur Menschen. Kein Mensch kennt alle SAP Hinweise auswendig. Und Menschen machen Fehler.

Fazit

Ja, jeder SAP Kunde sollte jetzt Access Listen auf seine Message Server einrichten. Was zu tun ist, steht hier. Mit SIEM Tools wie SPLUNK kann man sogar das Message Server Log überwachen und Angriffsversuche aufspüren und alarmieren lassen. So kann man Innentäter aufspüren. Aber vor allem: Das interne Netzwerk ist nicht sicherer als das Internet. Lasst die SAP Systeme und deren Admins nicht weiter im Regen stehen. Das schafft niemand auf Dauer sicher zu halten.

Weitere Infos

Access Listen für Message Server: https://rz10.de/sap-berechtigungen/10kblaze-exploits-erhoehtes-risiko-fuer-ungesicherte-sap-systeme/#Empfehlungen

Securing Remote Function Calls (RFC) https://www.sap.com/documents/2015/07/e6441a8d-5b7c-0010-82c7-eda71af511fa.html

RZ10.de Partnerprodukt Splunk als SIEM für SAP: https://rz10.de/angebot/splunk-als-siem-fuer-sap/

Tobias Harmes

Mein Name ist Tobias Harmes und ich bin SAP Basis & Security Experte, Speaker und Herausgeber von RZ10.de. Ich helfe anderen dabei, Unternehmensdaten und Geschäftsprozesse in SAP wirksam abzusichern.

Sie haben Fragen? Kontaktieren Sie mich!

RZ10.de Podcast für SAP Basis & Security



Das könnte Sie auch interessieren


Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Angebot anfordern
Preisliste herunterladen
Expert Session
Support