VORSCHAU
PRESSETERMINE
AKTUELLES PRESSEFOTO
IR Nachrichten
26.04.2024 09:00
Medigene AG
26.04.2024 08:00
Fast Finance 24 Holding AG
26.04.2024 07:44
POLYTEC HOLDING AG
EUROPA NACHRICHTEN
HIGHTECH
Do, 13.01.2022 14:10
ptp20220113026 Technologie/Digitalisierung, Unternehmen/Wirtschaft
Nach Initiative von SecurityBridge: SAP schließt Sicherheitslücke im Transportwesen
Vulnerability wurde im Oktober 2021 an SAP gemeldet, Patch ist bereits veröffentlicht
Ingolstadt (ptp026/13.01.2022/14:10) - Angriffe auf die Supply Chain sind eine neue Art von Bedrohung, die auf Softwareentwicklungs-Abteilungen und -lieferanten abzielt. SecurityBridge hat jetzt eine Methode identifiziert, die es internen Angreifern ohne privilegierte Berechtigungen ermöglicht, in den Prozess der SAP-Software-Verteilung unbemerkt einzugreifen. Die Vulnerability wurde im Oktober an SAP gemeldet, der entsprechende Patch ist bereits veröffentlicht, bestenfalls sogar schon im Kundensystem eingespielt. Über die interne SAP-Development-Supply-Chain können Kunden Einfluss auf die Ergänzung des SAP-Standards um gewünschte Funktionen und Eigenentwicklungen nehmen. Solche Codierungs- und Repository-Änderungen werden über die verschiedenen Staging-Syteme der jeweiligen SAP-Landschaft mittels SAP-Transportaufträgen bereitgestellt. Die Transportdateien werden benötigt, um Änderungen von der Entwicklung bis zur nächsten Staging-Ebene physisch bereitzustellen. Die Aufträge dürfen nach ihrem Export aus dem zentralen Transportverzeichnis (welches sich Entwicklungs-, Test- und Integrations-Instanzen i.d.R. teilen) und ihrer Freigabe nicht mehr verändert werden. Einschleusen von Schadcode in die SAP-Entwicklungsphase verhindern Ende 2021 hatte SecurityBridge mittels seiner SAP Security-Plattform eine Methode entdeckt, die es internen Angreifern ohne privilegierte Berechtigungen ermöglicht, in diese SAP-Software-Supply-Chain einzudringen. Unmittelbar nach dem Export eines Transportauftrags (der die gewünschte Entwicklung enthält) und vor dem Import in das nachfolgende Staging-System existierte ein Zeitfenster, während dessen jemand mit betrügerischer Absicht und ausreichenden Berechtigungen den Status des Transportauftrags von "freigegeben" auf "modifizierbar" ändern und dadurch Schadcode in die SAP-Entwicklungsphase einschleusen hätte können - sogar in Transportaufträge, die bereits in das Testsystem importiert wurden. Der Inhalt des Transportauftrags konnte kurz vor dem Import in die Produktion unbemerkt geändert werden, um die Codeausführung zu ermöglichen. Ivan Mans, CTO von SecurityBridge: "Solche Angriffe sind sehr effizient, insbesondere wenn sich die verschiedenen SAP-Staging-Systeme ein einziges Transportverzeichnis teilen. Ein Angriff auf die SAP-Development-Supply-Chain ist dadurch sehr einfach möglich."
SAP hat den Patch im Sicherheitshinweis SNOTE 3097887-
[
CVE-2021-38178
]
Improper Authorization in SAP NetWeaver AS ABAP and ABAP Platform e im Rahmen des SAP Security Patch Day am 12. Oktober 2021 mit einer Hot News Priority (CVSS 9.1) bereitgestellt. Dadurch wird das Dateisystem vor Manipulation geschützt. Nur der Account erhält Zugriff, auf dem auch die SAP NetWeaver- oder S/4HANA-Anwendung läuft (das sogenannte "SAP-Kunden sollten das Transportprotokoll vor dem Produktionsimport auf Manipulationen prüfen. Darin wird die beschriebene Angriffsmethode sichtbar. Wer den CVSS 9.1-Hinweis implementiert hat, ist aber auf der sicheren Seite", so Ivan Mans. Weitere Informationen unter: https://securitybridge.com/security-news/sap-supply-chain-attack (Ende)
PRESSETEXT.TV
Walter Oblin sieht Post auf Wachstumskurs 18.04.2023 ETARGET
FOCUSTHEMA
SPECIALS
Werbung
middleAdvertising
|