Eine neue Angriffswaffe gegen SAP-Installationen ist veröffentlicht worden. Sie fasst eine ganze Reihe von Sicherheitslücken und Fehlkonfigurationen zusammen, so dass Angreifer sie schnell und einfach ausnutzen können.

Zwar sind keine neuen Sicherheitslücken aufgetaucht. Aber die praktischen Exploit-Werkzeuge erhöhen die Wahrscheinlichkeit eines Angriffs. Die Firma Onapsis hat einen Threat Report zu diesen Exploits veröffentlicht und ihnen den Namen 10KBLAZEgegeben. 10KBLAZE ist ein Baukastensystem, mit dessen Hilfe auch weniger versierte Hacker SAP-Systeme effektiv angreifen können.

Bei einem Vortrag zeigte ein Mitarbeiter live, wie er über 1.000 verwundbare SAP-Installationen im Internet aufspürte. Die Firma schätzt, dass bis zu 90 Prozent aller SAP-Installationen kompromittiert werden können.

Die gute Nachricht: Wer alle von SAP empfohlenen Sicherheitsmaßnahmen umgesetzt hat, sollte vor diesen Angriffen geschützt sein. Für zusätzlichen Schutz hat Onapsis zudem eine kostenlose Signatur für das kostenlose Intrusion Detection System Snort veröffentlicht. Im Threat Report wird außerdem beschrieben, woran man einen Angriff erkennt und was man dagegen tun kann.

Besonders kritisch: Unter anderem können durch Man-in-the-Middle-Angriffe sensible Zugangsdaten erbeutet werden. Bestimmte SAP-Dienste können so zum Einfallstor für tiefer gehende Angriffe werden. Auf diese Weise kann weiterer Schadcode ins Firmennetz geraten und dort ausgeführt werden. Grundsätzlich sollten Server aus dem Internet nur erreichbar sein, wenn es für ihre Funktion wirklich unbedingt nötig ist. Das gilt übrigens nicht nur für SAP, sondern für jedes Gerät.

Die amerikanische Sicherheitsbehörde CISA hat einen Alert zu dem Thema veröffentlicht.