SecurityBrigde empfiehlt permanent wirksame Maßnahmen gegen die Ausnutzung von Zero-Days

Ingolstadt (09.02.2022) –

Alle vier Wochen erwarten ihn SAP-Kunden mit Spannung: den SAP Security Patch Day, auf dem SAP die neuesten, von SAP selbst, aber auch Kunden, Partnern und Security-Fachleuten (im Rahmen von Bug-Bounty-Programmen), aufgedeckten Schwachstellen mitteilt – und die dazugehörigen Patches, wie die Lücken zu schließen sind, gleich dazu. Ab dann beginnt der Wettlauf zwischen Angreifern und Verteidigern, den letztere nur gewinnen können, wenn sie den Patch schnell genug installieren. Am 8. Februar ist es wieder soweit und auch an diesem Tag sollten Kunden besonders brisante Veröffentlichungen erwarten.

So gut und sinnvoll der SAP Security Patch Day ist: Kein Anwenderunternehmen sollte allein darauf vertrauen. Denn es ist davon auszugehen das unter dem Radar so genannte Zero-Days existieren – Schwachstellen, die noch nicht allgemein bekannt sind und für die es keinen Sicherheitsupdate durch den Hersteller gibt. So ist auch der morgige Patch Day wieder eine gute Gelegenheit, an die virulente Gefahr von Zero-Days zu erinnern. Denn diese halten sich nicht an offizielle Termine.

Die täglichen Angriffsflächen kennen

Wie aber das Problem angehen? Die Antwort ist in ihrer Grundaussage recht einfach: Je besser man seine SAP-Angriffsfläche kennt, desto eher verringert man das Risiko der Ausnutzung der unbekannten Unbekannten! Unternehmen müssen davon ausgehen, dass jede Anwendung (und damit auch jedes SAP-System) schwerwiegende Sicherheitslücken enthält, die nicht geschlossen werden können, da kein Patch verfügbar ist. Auf den nächsten SAP Security Patch Day zu warten, kann hier keine Lösung sein, da Kriminelle die offene Lücke bereits kennen und ausnutzen können.

Die Angriffsfläche ist die Summe aller möglichen Eintrittspunkte oder Angriffsvektoren, über die ein unbefugter Angreifer auf ein System oder eine Anwendung zugreifen kann, um z. B. Daten zu extrahieren oder sensible Informationen zu manipulieren. Je kleiner sie ist, desto besser lässt sie sich schützen. Im SAP-Kontext sollten web basierte Zugriffe, für die der Internet Communication Manager (ICM) und der SAP Web Dispatcher zuständig sind, sowie das Internet Communication Framework (ICF) (über die SAP-Transaktion SICF) besonders beobachtet und abgesichert werden. Der Verbindungsaufbau über die RFC Schnittstelle (Remote Function Calls) ist ebenfalls anfällig und kann Datenlecks nach außen verursachen.

Grundsätzlich gilt es alle exponierten Dienste (HTTP, HTTPS, SOAP, WebService, APIs) kontinuierlich zu bewerten und inventarisieren. Jeder Systemdienst, der nicht genutzt wird oder nicht einem bestimmten SAP-Geschäftsszenario dient, sollte deaktiviert werden, um die Angriffsfläche zu verringern. SAP-Dienste, die keine Authentifizierung erfordern, sollten ganz besonders im Auge behalten werden. In SAP liegen sie im Namensraum /public/ (zu finden in der Transaktion SICF). Dienste wie /public/system_info sind die erste Anlaufstelle für Angreifer, um in der Erkundungsphase eines Angriffs Informationen über das SAP-System zu sammeln.

Regelmäßiges und rechtzeitiges Patchen im Nachgang an den Patch-Day ist daher nur eine – wenn auch eine immens wichtige – Säule, um SAP-Systeme zu sichern. Für Zero-Days aber gibt es schlichtweg keine Patches. Daher muss man sich rechtzeitig schützen – durch bestmögliche Kenntnis der typischen Angriffsflächen.

NCMI GmbH // SecurityBridge,
www.securitybridge.com

Be the first to comment

Leave a Reply

Your email address will not be published.