CISA Exploits SAP Systeme Security

​​​​Neuer Exploit für unsichere SAP Systeme ​​

03.05.2019 | Julian Petersohn

​Auf der Cybersicherheitskonferenz Operation for Community Development and Empowerment (OPCDE) im April 2019 beschreibt eine Präsention unter anderem SAP-Systeme mit unsicheren Konfigurationen, die dem Internet zugänglich sind. Generell sollten SAP-Systeme nicht dem Internet zugänglich sein, da dieses als nicht-vertrauenswürdiges Netzwerk eingestuft ist. 
Angreifer können sich mit öffentlich zugänglichen Exploit-Tools "10KBLAZE" Zugang zu diesen unsicheren Systemen verschaffen, diese angreifen und gefährden. Teil der Präsentation war es, die neuen Exploit-Tools und die Systeme, die angreifbar sind, vorzustellen. Das kann für die IT-Security weitreichende Folgen haben. 

SAP Gateway ACL

Das SAP-Gateway ermöglicht es Nicht-SAP-Anwendungen, mit SAP-Anwendungen über das Open Data Protocol (OData) zu kommunizieren. Wenn die Zugriffskontrolllisten (ACLs) des SAP-Gateways nicht ordnungsgemäß konfiguriert sind (z.B. gw/acl_mode = 0), können anonyme Benutzer Betriebssystemkommandos ausführen[2] Laut der OPCDE-Präsentation wurden in diesem anfälligen Zustand etwa 900 US-amerikanische internetfähige Systeme erkannt.

SAP Router secinfo

Der SAP-Router ist ein Programm, das die Verbindung von SAP-Systemen mit externen Netzwerken unterstützt. Die Standardkonfiguration von secinfo für ein SAP-Gateway ermöglicht es jedem internen Host, Betriebssystembefehle anonym auszuführen. Wenn ein Angreifer auf einen SAP-Router zugreifen kann, kann der Router als interner Host und Proxy für die Anfragen des Angreifers fungieren, was zur Ausführung von Remote-Code führen kann. Laut der OPCDE-Präsentation waren 1.181 SAP-Router dem Internet ausgesetzt. Es ist unklar, ob die exponierten Systeme als anfällig eingestuft wurden oder ob sie lediglich den SAP-Routerdienst betrieben.​

SAP Message-Server

Die SAP Message Server werden als Vermittler zwischen Anwendungs-Servern eingesetzt. Im Standard ist vorgegeben, dass diese Server auf dem Port 39XX hören und keine Authentifizierung haben. Ein Angreifer könnte also legitime Man-in-the-Middle (MITM) Anfragen umleiten und/oder ausführen und so Anmeldeinformationen erhalten. So gelingt dem Angreifer der Zugriff auf den Message Server. 

Die Anmeldeinformationen werden zum Beispiel verwendet, um Code oder Operationen auf AS-Servern auszuführen. ​

Signatur

CISA und Onapsis Inc. haben folgende Snort-Signatur entwickelt, die zur Erkennung der Exploits verwendet werden kann: 

Alarm tcp $EXTERNAL_NET any -> $HOME_NET any -> $HOME_NET any (msg: "10KBLAZE SAP Exploit execute attempt"; flow:established,to_server; Inhalt:"|06 cb 03|"; offset:4; depth:3; Inhalt:"SAPXPG_START_XPG"; nocase; distance:0; fast_pattern; Inhalt: "37D581E3889AF16DA00A000C290099D0001"; nocase; distance:0; content: "extprog"; nocase; distance:0; sid:1; rev:1;)​

Mehr Sicherheit für Ihre SAP Systeme

CISA empfiehlt den Administratoren von SAP-Systemen, folgendes zu implementieren, um die in der OPCDE-Präsentation enthaltenen Schwachstellen zu beheben: 

  • Gewährleistung einer sicheren Konfiguration Ihrer SAP-Landschaft
  • ​Schränken Sie den Zugriff auf den SAP Message Server ein.
    • Überprüfen Sie die SAP-Hinweise 1408081 und 821875. Einschränkung autorisierter Hosts über ACL-Dateien auf Gateways (gw/acl_modeund secinfo) und Message-Servern (ms/acl_info).
    • Überprüfen Sie den SAP-Hinweis 1421005. MS intern/öffentlich aufteilen: rdisp/msserv=0 rdisp/msserv_intern=39NN. 
    • Beschränken Sie den Zugriff auf den internen Message-Server-Port (tcp/39NN) auf Clients oder das Internet.​
    • Secure Network Communications (SNC) für Clients aktivieren. 
  • Scannen Sie nach exponierten SAP-Komponenten. ​
    • Stellen Sie sicher, dass SAP-Komponenten nicht dem Internet ausgesetzt sind.
    • Entfernen oder sichern Sie alle exponierten SAP-Komponenten.​

Noch Fragen? 

Unsere erfahrenen Consultants stehen Ihnen bei Sicherheitsthemen jederzeit zur Seite. 

Machen Sie unseren SAP Security Check. Wir prüfen Ihre Systeme auf Sicherheitslücken und minimieren damit Risiken durch Cyber-Attacken. Erfahren Sie mehr:
CBS02 - SAP Security Check


Kontaktieren Sie uns: 
DE +49 7031 7177 0| info@addon.de
CH +41 44 84277 11 | info@addon-ag.ch

SAP Sicherheit Security CISA
TAGS
Security; Exploits; Gateway; Signature; Code
Ja
SAP