Sicherheitslücken

Risiken für SAP und Oracle

| Redakteur: Peter Schmitz

Datenbanken und ERP-Systeme sind ein attraktives Ziel für Hacker, die deshalb ständig auf der Suche nach neuen Lücken sind.
Datenbanken und ERP-Systeme sind ein attraktives Ziel für Hacker, die deshalb ständig auf der Suche nach neuen Lücken sind. (Bild: gemeinfrei / CC0)

Sicherheits-Experten des Onapsis Research Lab beobachten eine kontinuierliche Ausweitung der Risiken sowohl für SAP- als auch Oracle-Implementierungen. Neue und kritische Schwachstellen gefährden Kernsysteme vieler Unternehmen.

Onapsis verkündete unlängst neue Security-Advisories zu Schwachstellen in SAP-HANA- und SAP-Trex-Konfigurationen: Eine als kritisch eingestufte Schwachstelle erlaubt die Erlangung hoher Account-Privilegien, den uneingeschränkten Zugriff auf Geschäftsinformationen und die willkürliche Manipulation von Datenbankinformationen. Dazu gehören sensible Daten zu Kunden und Mitarbeitern.

Zudem lieferte Onapsis mehrere Advisories zum Oracle Critical Patch Update (CPU) für Juli, der mit 276 Patches einen Rekordumfang erreichte. Die Bedrohungslage für Oracle-Lösungen steigt also kontinuierlich. Lücken in SAP- und Oracle-Implementierungen ermöglichen Angriffe wie Cross Site Cripting beziehungsweise Clickjacking. Solche Mechanismen zielen damit auf externe Besucher von Webseiten, wie Kunden oder Partner, ab.

5 Tipps für effektive SAP-Sicherheit

SAP-Sicherheit

5 Tipps für effektive SAP-Sicherheit

08.06.16 - Global-2000-Unternehmen stehen unter Druck: Ihre geschäftskritischen SAP-Implementierungen rücken zunehmend in den Fokus externer und interner Angreifer. Unternehmen stehen daher vor der Aufgabe, zum einen Technologien zur Sicherung von SAP-Systemen einzusetzen, zum anderen aber auch diese Werkzeuge in eine allgemeine Strategie zur Informationssicherheit einzubeziehen. lesen

Die von Onapsis in Zusammenarbeit mit SAP bekannt gegebenen Schwachstellen stellen ein potentielles Risiko für mehr als 10.000 SAP-Kunden und Betreiber verschiedener SAP-HANA-Versionen dar. Eine kritische Schwachstelle für SAP-HANA-Systeme zum Beispiel ermöglicht mit einer Brute-Force-Attacke per Fernzugriff die Aneignung hoher Privilegien für HANA-Systeme und einen uneingeschränkten Zugriff auf jede beliebige Geschäftsinformation. Durch die Ausnutzung anderer Schwachstellen manipulieren Angreifer Audit-Log-Einträge, verschleiern Angriffe, erhalten Zugriff zu Dateien oder können sie manipulieren. Die Security Notes von SAP für den Monat Juli belegen neue kritische Schwachstellen, die für einen Denial-of-Service-Angriff auf den SAP Solution Manager oder SAP Sybase ausgenutzt werden können.

Problemzone SAP HANA

SAP HANA, ein Kernelement des SAP-Cloud-Angebotes, fungiert als Datenbanken- und Applikationsplattform der nächsten Generation. Es ermöglicht die Verwirklichung von Transaktionen, die prediktive Analyse von Informationen sowie die Analyse und Verarbeitung von Text- oder raumbezogenen Daten. Unternehmen können so in Echtzeit agieren. Als kritisch eingestufte Schwachstellen ermöglichen Cyber-Angreifern den Zugang zu unternehmenskritischen Informationen wie Kunden- und Mitarbeiterdaten, Preiskalkulationen, Supply Chain, Business Intelligence, Budgets, Planung und Forecasts.

„Allein die von den Softwareherstellern am 21. Juli vorgestellten Sicherheitsmeldungen beschreiben Risiken einer neuen und einzigartigen Qualität. Die meisten Lücken, die Angreifer ausnutzen können, werden nämlich oft unterschätzt, weil es nicht immer klar ist, wie eine technische Schwachstelle sich auswirkt“, betont Sebastian Bortnik, Head of Research bei Onapsis. „Der Schaden kann sich auch im Verborgenen abspielen. So generiert zum Beispiel eine der kritischen Schwachstellen zunächst eine Fehlermeldung und spielt damit Angreifern sensible Informationen über die betroffene Umgebung, die Anwender oder die dort verwalteten Daten zu.“

Ein jüngst aufkommender Angriffsmechanismus im SAP-Umfeld ist Clickjacking. Besucher von Webseiten klicken nach erfolgter Manipulation bei ihrer Navigation auf den angegriffenen Webseiten auf verborgene Links oder Schaltflächen, und nicht auf die Menüpunkte, die sie vermeintlich ansteuern. Durch ihren Klick lösen sie stattdessen unerwünschte Aktionen auf dem Rechner des Kunden oder Partners, der die Webseite besucht, aus.

Weitere Infos zum Thema Sicherheitslücken und Risiken bei SAP finden interessierte Leser in unserem Special: SAP-Sicherheit.

Gefahrenlage Oracle

Anlässlich der in den Oracle Critical Patch Updates für den Monat Juli 2016 verkündeten Patches stellt Onapsis eine Verschärfung der Gefahrenlage fest. Die Anzahl mit 276 Patches ist doppelt so hoch wie im letzten Update vom April 2016. Unter den Updates für Juli finden sich auch 15 nun geschlossene Schwachstellen, die das Onapsis Research Lab beim Software-Hersteller gemeldet hatte. Diese Lücken betrafen 49 verschiedene Oracle-Produkte. Besonders gefährlich ist die Tatsache, dass fast 60 Prozent der Schwachstellen per Fernzugriff ausgenutzt werden können. Angreifer haben also potentiell von jedem beliebigen Rechner im Netzwerk Zugriff. Elf der von den Onapsis Research Labs gemeldeten Schwachstellen für die Oracle E-Business Suite ermöglichen Cross Site Scripting. Über diese Lücken können Angreifer dem Website-Besucher Schadcode übertragen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44204775 / Sicherheitslücken)