10KBLAZE Exploits: Erhöhtes Risiko für ungesicherte SAP Systeme

Autor: Tobias Harmes | 6. Mai 2019

31 | #10KBLAZE

Sicherheitsexperten warnen vor Risiken bei unzureichend abgesicherten SAP-Installationen, die durch den Exploit Baukasten namens 10KBLAZE leicht ausgenutzt werden können. Laut Schätzungen können 9 von 10 SAP Systemen betroffen sein.

Das US-Heimatschutzministerium und die Sicherheitsfirma Onapsis warnen vor der gesteigerten Gefahr durch Cyberangriffe. Durch den Exploit mit dem Namen 10KBLAZE können bekannte Sicherheitslücken in veralteten SAP-Konfigurationen leicht angegriffen werden. Dabei gibt das Büro für Cybersicherheit und Digitale Infrastruktur (CISA) des US-Heimatschutzes in der zugehörigen Meldung verschiedene Probleme an.

Beispiel Regelwerk SAP Access Control

Beispiel Regelwerk für SAP Access Control zum Download

6 Abfragen, die 3 gesetzeskritische Berechtigungen sowie 3 Funktionstrennungen prüfen, direkt für den Import in SAP Access Control

Falsche bzw. fehlende Access-Control-List-Konfigurationen können es jedem Host mit Netzwerkzugriff auf den Message-Server ermöglichen, einen Anwendungsserver zu registrieren. Die ACLs sollten normalerweise nur auf IP-Adresse von internen Servern beschränkt sein. In dem Szenario kann ein Angreifer auf ein Netzwerk zugreifen, in dem sich die anfälligen Systeme befinden, und die volle Kontrolle übernehmen. Die Sicherheitsexperten wiesen darauf hin, dass dieses Problem viele SAP-Produkte betreffen könnte, darunter S/4HANA und NetWeaver Application Server (AS). Außerdem gibt es ein hohes Risiko bei SAP-Routern, die öffentlich im Internet aufzufinden sind. Mit diesen können sich Angreifer mittels der 10KBLAZE-Tools Zugriff auf das System ermöglichen.

Es handelt sich hier nicht um ein neues Problem, aber durch die Bereitstellung des Tools gibt es jetzt ein einfach zu bedienendes Werkzeug, mit dem jeder eine Man-in-the-middle Attacke auf SAP Infrastrukturen ausführen kann. In den OPCDE Konferenzunterlagen gibt es neben dem PDF auch zwei interessante Beispielvideos. SAP gibt seit 2005 Anweisungen heraus, wie die Access Control List für den Message-Server konfiguriert werden können. Im Jahr 2005 veröffentlichte SAP den Hinweis 821875 und im Jahr 2009 den Hinweis 1408081 mit Anweisungen zur korrekten Konfiguration der Access List für das Gateway. 2010 folgte dann ein weitere Hinweis, 1421005, mit Information zur korrekten Konfiguration des Message Server ACL. Trotz dieser Hinweise und Sicherheitsinformationen waren laut einer Untersuchung von Onapsis, etwa 90 Prozent der SAP Systeme von einer 13 Jahre alten Konfigurationslücke betroffen, die von einem externen Angreifer ausgenutzt werden kann.

Die Experten schätzen, dass derzeit 9 von 10 SAP Systeme ein Sicherheitsrisiko darstellen und weltweit etwa 50.000 Kunden betroffen sein könnten. Es wird dringend geraten, die Konfigurationen der SAP Systeme zu überprüfen, um Angriffe von außen zu verhindern. Bei neueren Patch-Level scheint der Angriff nicht zuverlässig zu sein bzw. im Standard die Verbindungsversuche abzubrechen. Es liegen bisher aber noch keine genauen Informationen bezüglich Releases vor.

Beratung und Unterstützung für SAP Berechtigungen und Security

Unsere zertifizierten Berater für SAP Security helfen Ihnen bei personellen Engpässen - sowohl im Betrieb als auch im Projekt.

Empfehlungen

  • Zugriff zum SAP Message Server einschränken
    • SAP Hinweis 1408081 und 821875 lesen. Einschränken der erlaubten Hosts via ACL Datei auf dem Gateway (gw/acl_mode und secinfo) und Message Server  (ms/acl_info).
    • SAP Hinweis 1421005. Trennung von internen/öffentlichen Message Server Verkehr: rdisp/msserv=0 rdisp/msserv_internal=39NN
    • Unterbindung des Zugriffs zum internen Message Server Port (tcp/39NN) für Clients aus dem Internet/WAN
    • Secure Network Communications (SNC) für Clients aktivieren
  • Nach exponierten SAP Komponenten scannen
    • SAP Systeme (insbesondere Gateways und Router) sollten nur über definierte Wege erreichbar sein
    • Öffentlich erreichbare Services (z.B. ungenutzte SAP Router Installationen) sollten abgeschaltet oder gesichert werden

Weitere Informationen

OPCDE Konferenzunterlagen (PDF + zwei Beispiel-Videos): https://github.com/comaeio/OPCDE/tree/master/2019/Emirates/(SAP)%20Gateway%20to%20Heaven%20-%20Dmitry%20Chastuhin%2C%20Mathieu%20Geli

SAP_GW_RCE_exploit: https://github.com/chipik/SAP_GW_RCE_exploit

Meldung des CISA: https://www.us-cert.gov/ncas/alerts/AA19-122A

Meldung von Onapsis: https://www.onapsis.com/10kblaze

Meldung von securityaffairs.co: https://securityaffairs.co/wordpress/84870/hacking/10kblaze-sap-exploits.html

Kommentar zum 10KBLAZE Exploit: SAP Admin = Mensch https://rz10.de/1-noch/kommentar-zum-10kblaze-exploit/

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice