SAP-Anwendungen dringen ins Web vor, die Angreifer nehmen die Gegenrichtung
SAP-Anwendungen drängen ins Web (bzw. werden ins Web genötigt). Aber alles, was eine Weboberfläche hat und mit dem Internet verbunden ist, ist auch den dort üblichen Angriffen ausgesetzt. Und darauf sind die SAP-Anwendungen und deren Weboberflächen wenn überhaupt, dann meist nur schlecht vorbereitet. Eine einzige Schwachstelle in der Weboberfläche kann ausreichen, um einen Angreifer Tür und Tor zur wichtigsten Unternehmensanwendung zu öffnen. Im letzten Teil der Serie mit Berichten über Neuigkeiten von den Sicherheitskonferenzen 2011 geht es um diese Angriffe und Schwachstellen.
Mariano Nunez Di Croce: Your crown jewels online: Attacks to SAP Web Applications
Mariano Nunez Di Croce von Onapsis hat auf der Black Hat DC 2011 einen Vortrag mit dem Titel "Your crown jewels online: Attacks to SAP Web Applications" gehalten. Schon der Anfang der Beschreibung erklärt die Ursache aller Probleme rund um SAP:
""SAP platforms are only accessible internally". You may have heard that several times. While that was true in many organizations more than a decade ago, the current situation is completely different: driven by modern business requirements, SAP systems are getting more and more connected to the Internet."
Und auf diese Anbindung ans Internet sind die meisten SAP-Installationen nicht vorbereitet. Entweder, weil sie nicht dafür vorgesehen waren, oder weil sie zwar entsprechend angepasst wurden, die Entwickler aber keinen blassen Schimmer von Websicherheit oder sogar IT-Sicherheit allgemein haben. Was ja bisher auch kein Problem war. Jetzt aber gilt es, dieses Defizit schnell zu beheben.
Mariano Nunez Di Croces demonstriert, wie Angreifer die verschiedenen SAP-Web-Interfaces wie Enterprise Portal, Internet Communication Manager (ICM) und Internet Transaction Server (ITS) angreifen können und wie die Entwickler dem entgegen wirken können. Eine Authentication-Bybass-Schwachstelle in gehärteten Implementierungen des SAP Enterprise Portal wurde detailliert beschrieben.
Auf der "Hack In The Box" Konferenz 2011 hat Mariano Nunez Di Croces einen weiteren Vortrag mit gleichem Titel gehalten, aber neue Angriffen vorgestellt (Präsentation als PDF).
Außer dem Vortrag hat Mariano Nunez Di Croce auf der Black Hat DC 2011 auch zusammen mit Jordan Santarsieri einen Workshop abgehalten: "Cyber-attacks to SAP platforms: The Insider Threat". Material dazu ist aber nicht online verfügbar.
Raul Siles: SAP: Session (Fixation) Attacks and Protections (in Web Applications)
Raul Siles von Taddong hat auf der Black Hat Europe 2011 einen Vortrag mit dem Titel "SAP: Session (Fixation) Attacks and Protections (in Web Applications)" gehalten (Whitepaper und Präsentation als PDF auf der Taddong-Website, die Links auf der Black-Hat-Seite funktionieren nicht).
Session Fixation ist eine altbekannte Schwachstelle in Webanwendungen, die nun auch SAP-Systeme erreicht. Ein Angreifer kann darüber unbefugt Zugriff auf die Weboberfläche und damit das darunter liegende SAP-System erlangen.
Raul Siles gibt einen ausführlichen Überblick über Session-Fixation-Schwachstellen und führt als Fallstudien drei Schwachstellen vor: In Joomla!, in einer kommerziellen J2EE-Webanwendung auf Basis von Oracle/Bea WebLogic Portal/Server und in der SAP J2EE Engine der SAP NetWeaver Plattform.
Andreas Wiegenstein: The ABAP Underverse
Andreas Wiegenstein von Virtual Forge hat auf der Black Hat Europe 2011 einen Vortrag mit dem Titel "The ABAP Underverse - Risky ABAP to Kernel communication and ABAP-tunneled buffer overflows" gehalten (Whitepaper und Präsentation als PDF auf der Website von Virtual Forge, auch diese Links auf der Black-Hat-Seite funktionieren nicht).
ABAP stellt als Low-Level-Interfaces "Kernel Calls" bereit, mit denen auf den C-basierten SAP-Kernel zugegriffen werden kann. Die SAP-Dokumentation rät ausdrücklich von der Nutzung der Kernel Calls ab, und Andreas Wiegenstein zeigt, was passieren kann, wenn man sich nicht daran hält. Zuerst stellt er mehrere besonders gefährliche Kernel Calls vor, die das Umgehen von Schutzfunktionen erlauben. Danach wird auf die Gefahr von Pufferüberlauf-Schwachstellen eingegangen.
Andreas Wiegenstein: SQL Injection with ABAP
Auf der "Hack In The Box" Konferenz 2011 hat Andreas Wiegenstein einen Vortrag mit dem Titel "SQL Injection with ABAP – Ascending from Open SQL Injection to ADBC Injection" gehalten (Präsentation als PDF). Alle drei Möglichkeiten zum Zugriff auf die SQL-Datenbank, Open SQL, Native SQL und ADBC (ABAP DataBase Connectivity), weisen spezifische Gefahren auf. Nach einer Einführung in die verschiedenen Zugriffsmöglichkeiten wurden mögliche Schwachstellen und Angriffe vorgestellt, darunter eine tatsächlich gefährliche SQL-Injection-Schwachstelle in ADBC. Parallel wurden mögliche Gegen- bzw. Schutzmaßnahmen aufgeführt.
Alexander Polyakov: A Crushing Blow At the Heart of SAP J2EE Engine
Alexander Polyakov von ERPScan hat auf der Black Hat US 2011 einen Vortrag mit dem Titel "A Crushing Blow At the Heart of SAP J2EE Engine" gehalten. SAPs J2EE Engine weist einige Schwachpunkte auf. Die Verknüpfung von Angriffen auf verschiedene Logikfehler verschafft dem Angreifer die vollständige Kontrolle über die J2EE Engine, indem er einen neuen Benutzer anlegt und diesem Administratorrechte verschafft. Ein Tool, das die Schwachstellen aufdecken kann, wurde veröffentlicht: Der ERPScan WEBXML Checker.
Hiermit ist die Serie mit Berichten über Neuigkeiten von den Sicherheitskonferenzen 2011 abgeschlossen. In der nächsten Folge geht es mal wieder um SSL/TLS, es gibt schon wieder schlechte Nachrichten von den Zertifizierungsstellen.
Übersicht über alle Artikel zum Thema
- Neues zur Sicherheit von Web-Clients
- Neues zur Sicherheit von Web-Clients, Teil 2
- Neues zur Sicherheit von Clients, nicht nur im Web
- Neues zur Sicherheit von Clients
- Neues zur Sicherheit von Clients, Teil 2
- Neues zur Sicherheit von Webservern und -anwendungen
- Neues zur Sicherheit von Webservern und -anwendungen, Teil 2
- Sicherheitskonferenzen 2011: Autos und Insulinpumpen im Visier
- SAP-Anwendungen dringen ins Web vor, die Angreifer nehmen die Gegenrichtung
Trackbacks