Schwachstellen in SAP-Systemen

Das siebte Jahr in Folge hat edgescan seinen „Vulnerability Statistics Report“ veröffentlicht. Die Grundlage des Reports sind tausende Scans und Penetrationstests, die edgescan im Jahr 2021 durchgeführt hat. Der Report zeigt also den aktuellen Zustand der Cybersicherheit und bietet Einblick in aktuelle Trends und Entwicklungen.

Wie auch im letzten Jahr sind einige Schwachstellen für SAP-Systeme gelistet, die als kritisch eingestuft werden.

Unzureichende Sicherheitskonfiguration

Der Report zeigt, dass es noch eine große Anzahl an Systemen gibt, dessen SAP Message Server (MS) oder SAP Gateway (GW) nicht durch „Access Control Lists“ geschützt wurden. SAP bietet diese Sicherheitsfunktion bereits viele Jahre an – spätestens mit dem Exploit 10KBLAZE ist sie aber in aller Munde und sollte von jeder SAP-Einheit umgesetzt werden.

Allgemeine Schwachstellen

Die statistisch größte Anzahl entdeckter Schwachstellen sind Probleme, die nicht direkt von SAP ausgehen, aber trotzdem damit zu tun haben könnten. Auf vielen Linux basierten Betriebssystemen wird zu oft das alte SSH-1 Protokoll genutzt. Unzureichende Cipher Suites bei der SSL-Verschlüsselung kommen ebenfalls vor. Diese Fehl-Konfigurationen können natürlich auch im Zusammenhang mit dem Betrieb von SAP-Systemen auftauchen.

Sicherheitslücken bei SAP AS Java

Auffällig sind auch verschiedene Sicherheitslücken, die SAP AS Java betreffen und in einer großen Anzahl auftauchen. Genannt werden Exploits wie zum Beispiel CVE-2020-6287, welcher das Ausführen von Konfiguration-Aufgaben ohne Authentifizierung ermöglicht. Dadurch ist es dann unter anderem möglich, administrative User zu erstellen. Ebenfalls interessant ist die Lücke CVE-2020-6286, durch die ZIP-Files ohne Berechtigung heruntergeladen werden können.

Schwachstellen bleiben offen

Dass Patching und Wartung immer noch eine Herausforderung darstellen, ist ein grundsätzliches Problem in der Cyber-Sicherheit. Das zeigt, dass es nicht immer trivial ist, Produktionssysteme zu patchen. Die Statistiken in diesem Report spiegeln dieses Problem ebenfalls wider. Denn immer wieder werden Schwachstellen gescannt, für die es schon seit Jahren eine Lösung gibt.

Gerne hilft Tönjes Consulting Ihnen, diese Schwachstellen in Ihrem System zu identifizieren. Schreiben Sie uns an:

SAP Patchday - Tönjes Consulting GmbH

Nutzen Sie das SecurityBridge SAP Patch Management, um nie wieder ein wichtiges Update für Ihr SAP System zu verpassen!

Kontaktieren Sie uns, um mehr über SecruityBridge zu erfahren!

Kontaktieren Sie uns!