US-CERT, som er underlagt amerikanske Department of Homeland Security, kom i går med det som skal være gruppens aller første IT-sikkerhetsadvarsel angående sårbarheter i SAP-systemer.
Advarselen skyldes dog ingen ny sårbarhet. Derimot viser det seg at mange SAP-kunder, også store globale selskaper, benytter utdaterte eller feilkonfigurerte systemer som gjør at en sårbarhet som egentlig ble patchet av SAP i 2010 utsetter selskapene for stor risiko.
Sikkerhetsselskapet Onapsis har i offentlige tilgjengelige, kinesiske fora funnet meldinger om at sårbarheten har blitt utnyttet hos minst navngitte 36 selskaper i perioden 2013 til 2016. Men det går tydelig fram av rapporten at selskapet mener dette bare utgjør toppen av isfjellet, og at man ikke kan se bort fra at sårbarhetene fortsatt utnyttes i aktive angrep.
De 36 selskapene hører hjemme i, eller eies av selskaper i USA, Storbritannia, Tyskland, Kina, India, Japan og Sør-Korea. De er involvert i bransjer som olje og gass, telekommunikasjon, handel, bil- eller stålproduksjon, samt offentlige tjenester – trolig inkludert energiforsyning.
- Conficker herjer fortsatt: Tysk atomkraftverk rammet av skadevare
Sårbarheten
Selve sårbarheten finnes i Invoker Servlet, en innebygd funksjon i SAP NetWeaver Application Server Java-systemer. Den påvirker tilsynelatende alt som kjøres på SAP Java-plattformene, i alle fall systemene som er listet nedenfor.
- SAP Enterprise Resource Planning (ERP)
- SAP Product Life-cycle Management (PLM)
- SAP Customer Relationship Management (CRM)
- SAP Supply Chain Management (SCM)
- SAP Supplier Relationship Management (SRM)
- SAP Enterprise Portal (EP)
- SAP Process Integration (PI)
- SAP Exchange Infrastructure (XI)
- SAP Solution Manager (SolMan)
- SAP NetWeaver Business Warehouse (BW)
- SAP Business Intelligence (BI)
- SAP NetWeaver Mobile Infrastructure (MI)
- SAP NetWeaver Development Infrastructure (NWDI)
- SAP Central Process Scheduling (CPS)
- SAP NetWeaver Composition Environment (CE)
- SAP NetWeaver Enterprise Search
- SAP NetWeaver Identity Management (IdM)
- SAP Governance, Risk & Control 5.x (GRC)
Sårbarhetene kan gi uvedkommende full administratortilgang til SAP-systemer. Dette kan gjøres via et webbasert grensesnitt. Alt som behøves er nettadressen til SAP-systemet og en nettleser, i tillegg til en angrepskode. Dette kan blant annet gjøre det mulig for angripere å endre finansiell informasjon, stjele sensitive data eller å forstyrre forretningskritiske prosesser hos de berørte SAP-kundene.
SAP-brukere som av en eller annen grunn ikke kan installere den aldrende sikkerhetsoppdateringen, har mulighet til å deaktivere Invoker Servlet globalt i systemet. Men Onapsis advarer om at denne deaktiveringen kan bli overstyrt av spesifikke eller kundetilpassede SAP Java-applikasjoner.
Hva med de 3000 andre sikkerhetsfiksene?
Når SAP-kunder ikke har installert denne sikkerhetsfiksen nesten seks år etter at den ble utgitt, er det fare for at det også systemene deres er berørt av også andre og velkjente sårbarheter. Ifølge Onapsis har SAP utgitt mer enn 3000 sikkerhetsfikser, i gjennomsnitt drøyt 30 per måned.
US-CERT har kommet med en rekke råd til SAP-administratorer som ikke har full kontroll på sikkerheten til systemet. I første omgang må det sørges for at alle kjente sårbarheter og feilkonfigurasjoner blir fjernet. Sikkerhetsinnstillingene i SAP-grensesnittene mellom systemer og applikasjoner må identifiseres og analyseres slik at man får en forståelse for risikoene disse innebærer.
Dessuten bør systemene analyseres for å identifisere ondsinnede brukere eller brukere med for store rettigheter.