VORSCHAU
PRESSETERMINE
Vatter Business Center Bern, Raum "Frutiger", 2. Stock oder via Livestream
19.01.2022 00:00
Volkstheater (Rote Bar)
19.01.2022 00:00
Landratssaal, Regierungsgebäude - 2. Stock
19.01.2022 00:00

AKTUELLES PRESSEFOTO



WETTER
Graz: bedeckt
24°
Innsbruck: Regen
22°
Linz: Regen
22°
Wien: bedeckt
20°
© wetter.net

Stadtname / PLZ

AKTIENKURSE
 
HIGHTECH
Do, 13.01.2022 14:10
Meldung drucken Artikel weiterleiten
ptp20220113026 Technologie/Digitalisierung, Unternehmen/Wirtschaft
Pressefach Pressefach

Nach Initiative von SecurityBridge: SAP schließt Sicherheitslücke im Transportwesen

Vulnerability wurde im Oktober 2021 an SAP gemeldet, Patch ist bereits veröffentlicht
Ivan Mans, CTO von SecurityBridge (Foto: SecurityBridge)
Ivan Mans, CTO von SecurityBridge (Foto: SecurityBridge)

Ingolstadt (ptp026/13.01.2022/14:10) - Angriffe auf die Supply Chain sind eine neue Art von Bedrohung, die auf Softwareentwicklungs-Abteilungen und -lieferanten abzielt. SecurityBridge hat jetzt eine Methode identifiziert, die es internen Angreifern ohne privilegierte Berechtigungen ermöglicht, in den Prozess der SAP-Software-Verteilung unbemerkt einzugreifen. Die Vulnerability wurde im Oktober an SAP gemeldet, der entsprechende Patch ist bereits veröffentlicht, bestenfalls sogar schon im Kundensystem eingespielt.

Über die interne SAP-Development-Supply-Chain können Kunden Einfluss auf die Ergänzung des SAP-Standards um gewünschte Funktionen und Eigenentwicklungen nehmen. Solche Codierungs- und Repository-Änderungen werden über die verschiedenen Staging-Syteme der jeweiligen SAP-Landschaft mittels SAP-Transportaufträgen bereitgestellt. Die Transportdateien werden benötigt, um Änderungen von der Entwicklung bis zur nächsten Staging-Ebene physisch bereitzustellen. Die Aufträge dürfen nach ihrem Export aus dem zentralen Transportverzeichnis (welches sich Entwicklungs-, Test- und Integrations-Instanzen i.d.R. teilen) und ihrer Freigabe nicht mehr verändert werden.

Einschleusen von Schadcode in die SAP-Entwicklungsphase verhindern

Ende 2021 hatte SecurityBridge mittels seiner SAP Security-Plattform eine Methode entdeckt, die es internen Angreifern ohne privilegierte Berechtigungen ermöglicht, in diese SAP-Software-Supply-Chain einzudringen. Unmittelbar nach dem Export eines Transportauftrags (der die gewünschte Entwicklung enthält) und vor dem Import in das nachfolgende Staging-System existierte ein Zeitfenster, während dessen jemand mit betrügerischer Absicht und ausreichenden Berechtigungen den Status des Transportauftrags von "freigegeben" auf "modifizierbar" ändern und dadurch Schadcode in die SAP-Entwicklungsphase einschleusen hätte können - sogar in Transportaufträge, die bereits in das Testsystem importiert wurden. Der Inhalt des Transportauftrags konnte kurz vor dem Import in die Produktion unbemerkt geändert werden, um die Codeausführung zu ermöglichen.

Ivan Mans, CTO von SecurityBridge: "Solche Angriffe sind sehr effizient, insbesondere wenn sich die verschiedenen SAP-Staging-Systeme ein einziges Transportverzeichnis teilen. Ein Angriff auf die SAP-Development-Supply-Chain ist dadurch sehr einfach möglich."

SAP hat den Patch im Sicherheitshinweis SNOTE 3097887- [ CVE-2021-38178 ] Improper Authorization in SAP NetWeaver AS ABAP and ABAP Platform e im Rahmen des SAP Security Patch Day am 12. Oktober 2021 mit einer Hot News Priority (CVSS 9.1) bereitgestellt. Dadurch wird das Dateisystem vor Manipulation geschützt. Nur der Account erhält Zugriff, auf dem auch die SAP NetWeaver- oder S/4HANA-Anwendung läuft (das sogenannte ADM).

"SAP-Kunden sollten das Transportprotokoll vor dem Produktionsimport auf Manipulationen prüfen. Darin wird die beschriebene Angriffsmethode sichtbar. Wer den CVSS 9.1-Hinweis implementiert hat, ist aber auf der sicheren Seite", so Ivan Mans.

Weitere Informationen unter: https://securitybridge.com/security-news/sap-supply-chain-attack

(Ende)

Aussender: NCMI GmbH / SecurityBridge
Ansprechpartner: Till Pleyer
Tel.: +49 841 93914840
E-Mail:
Website: www.securitybridge.com
NCMI GmbH / SecurityBridge
   
Wie fanden Sie diese Meldung?
Weitersagen
likes dislike Share Share |
Social Media
ETARGET

FOCUSTHEMA


SPECIALS


Werbung
middleAdvertising