10KBLAZE Exploits: Erhöhtes Risiko für ungesicherte SAP Systeme

Autor: Tobias Harmes | 6. Mai 2019

32 | #10KBLAZE

Sicherheitsexperten warnen vor Risiken bei unzureichend abgesicherten SAP-Installationen, die durch den Exploit Baukasten namens 10KBLAZE leicht ausgenutzt werden können. Laut Schätzungen können 9 von 10 SAP Systemen betroffen sein.

Das US-Heimatschutzministerium und die Sicherheitsfirma Onapsis warnen vor der gesteigerten Gefahr durch Cyberangriffe. Durch den Exploit mit dem Namen 10KBLAZE können bekannte Sicherheitslücken in veralteten SAP-Konfigurationen leicht angegriffen werden. Dabei gibt das Büro für Cybersicherheit und Digitale Infrastruktur (CISA) des US-Heimatschutzes in der zugehörigen Meldung verschiedene Probleme an.

Beispiel Regelwerk SAP Access Control

Beispiel Regelwerk für SAP Access Control zum Download

6 Abfragen, die 3 gesetzeskritische Berechtigungen sowie 3 Funktionstrennungen prüfen, direkt für den Import in SAP Access Control

Jetzt anfordern

Falsche bzw. fehlende Access-Control-List-Konfigurationen können es jedem Host mit Netzwerkzugriff auf den Message-Server ermöglichen, einen Anwendungsserver zu registrieren. Die ACLs sollten normalerweise nur auf IP-Adresse von internen Servern beschränkt sein. In dem Szenario kann ein Angreifer auf ein Netzwerk zugreifen, in dem sich die anfälligen Systeme befinden, und die volle Kontrolle übernehmen. Die Sicherheitsexperten wiesen darauf hin, dass dieses Problem viele SAP-Produkte betreffen könnte, darunter S/4HANA und NetWeaver Application Server (AS). Außerdem gibt es ein hohes Risiko bei SAP-Routern, die öffentlich im Internet aufzufinden sind. Mit diesen können sich Angreifer mittels der 10KBLAZE-Tools Zugriff auf das System ermöglichen.

Es handelt sich hier nicht um ein neues Problem, aber durch die Bereitstellung des Tools gibt es jetzt ein einfach zu bedienendes Werkzeug, mit dem jeder eine Man-in-the-middle Attacke auf SAP Infrastrukturen ausführen kann. In den OPCDE Konferenzunterlagen gibt es neben dem PDF auch zwei interessante Beispielvideos. SAP gibt seit 2005 Anweisungen heraus, wie die Access Control List für den Message-Server konfiguriert werden können. Im Jahr 2005 veröffentlichte SAP den Hinweis 821875 und im Jahr 2009 den Hinweis 1408081 mit Anweisungen zur korrekten Konfiguration der Access List für das Gateway. 2010 folgte dann ein weitere Hinweis, 1421005, mit Information zur korrekten Konfiguration des Message Server ACL. Trotz dieser Hinweise und Sicherheitsinformationen waren laut einer Untersuchung von Onapsis, etwa 90 Prozent der SAP Systeme von einer 13 Jahre alten Konfigurationslücke betroffen, die von einem externen Angreifer ausgenutzt werden kann.

Die Experten schätzen, dass derzeit 9 von 10 SAP Systeme ein Sicherheitsrisiko darstellen und weltweit etwa 50.000 Kunden betroffen sein könnten. Es wird dringend geraten, die Konfigurationen der SAP Systeme zu überprüfen, um Angriffe von außen zu verhindern. Bei neueren Patch-Level scheint der Angriff nicht zuverlässig zu sein bzw. im Standard die Verbindungsversuche abzubrechen. Es liegen bisher aber noch keine genauen Informationen bezüglich Releases vor.

Beratung und Unterstützung für SAP Berechtigungen und Security

Unsere zertifizierten Berater für SAP Security helfen Ihnen bei personellen Engpässen - sowohl im Betrieb als auch im Projekt.

informieren

Empfehlungen

  • Zugriff zum SAP Message Server einschränken
    • SAP Hinweis 1408081 und 821875 lesen. Einschränken der erlaubten Hosts via ACL Datei auf dem Gateway (gw/acl_mode und secinfo) und Message Server  (ms/acl_info).
    • SAP Hinweis 1421005. Trennung von internen/öffentlichen Message Server Verkehr: rdisp/msserv=0 rdisp/msserv_internal=39NN
    • Unterbindung des Zugriffs zum internen Message Server Port (tcp/39NN) für Clients aus dem Internet/WAN
    • Secure Network Communications (SNC) für Clients aktivieren
  • Nach exponierten SAP Komponenten scannen
    • SAP Systeme (insbesondere Gateways und Router) sollten nur über definierte Wege erreichbar sein
    • Öffentlich erreichbare Services (z.B. ungenutzte SAP Router Installationen) sollten abgeschaltet oder gesichert werden

Weitere Informationen

OPCDE Konferenzunterlagen (PDF + zwei Beispiel-Videos): https://github.com/comaeio/OPCDE/tree/master/2019/Emirates/(SAP)%20Gateway%20to%20Heaven%20-%20Dmitry%20Chastuhin%2C%20Mathieu%20Geli

SAP_GW_RCE_exploit: https://github.com/chipik/SAP_GW_RCE_exploit

Meldung des CISA: https://www.us-cert.gov/ncas/alerts/AA19-122A

Meldung von Onapsis: https://www.onapsis.com/10kblaze

Meldung von securityaffairs.co: https://securityaffairs.co/wordpress/84870/hacking/10kblaze-sap-exploits.html

Kommentar zum 10KBLAZE Exploit: SAP Admin = Mensch https://rz10.de/1-noch/kommentar-zum-10kblaze-exploit/

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen

Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Weitere Beiträge:

SAP Security

Zwei Möglichkeiten zur Anwendung von Security Automation

In diesem Artikel zum Thema Security Automation möchte ich einen kleinen Blick in die Zukunft von automatisierten Prozessen im SAP Security Bereich wagen.
Artikel lesen
Podcast

SAP Enterprise Threat Detection: Alarmanlage für das SAP

Wieso ist SAP Enterprise Threat Detection wichtig? Welche Funktionen bringt die “Alarmanlage für das SAP” mit? – Mit Martin Müller.
2 #podcast, #sap etd
jetzt anhören
SAP Security

Security Audit Log auswerten und verstehen mit Transaktion SM20

Setzen Sie das SAL ein, um Sicherheitsvorfälle in Ihrem SAP System aufzudecken! Interpretation und Reaktion durch Logs sind essentiell.
10 #Security Audit Log
Artikel lesen

Unsere Top-Downloads

E-Book

E-Book SAP Security und Berechtigungen

Kostenloses E-Book
SAP Security& Berechtigungen
Download
Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten – Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.
kostenlos downloaden
E-Book

E-Book SAP Berechtigungstools

Kostenloses E-Book
Unser E-Book zum Thema SAP Berechtigungstools
Download
So wählen Sie Ihr SAP Berechtigungstool aus – in 3 Schritten zum neuen Berechtigungstool.
#podcast, #story
kostenlos downloaden
E-Book

E-Book SAP Solution Manager

Kostenloses E-Book
SAP Solution Manager
Download
Dieses E-Book beinhaltet für Sie von uns ausgewählte Fachartikel rund um das Thema SAP Solution Manager.
kostenlos downloaden
Kontaktieren Sie uns!
Renate Burg Kundenservice
0211 9462 8572-25 renate.burg@rz10.de Ihre Anfrage