Onapsis™, wereldwijd expert in de beveiliging van bedrijfskritische SAP- en Oracle-applicaties, publiceert vandaag 21 nieuwe beveiligingsadviezen waarin een ongekend groot aantal kwetsbaarheden in SAP HANA wordt beschreven. Dit omvat acht kwetsbaarheden die een ‘critical risk’ opleveren, waarvan zes als gevolg van een ontwerpfout in SAP HANA die configuratiewijzigingen vereisen om te worden hersteld. Cybercriminelen kunnen misbruik maken van deze kwetsbaarheid om bedrijfsgegevens te stelen, verwijderen of wijzigen of zelfs de volledige controle van een SAP HANA-systeem overnemen. Dit is de eerste keer dat er beveiligingsadviezen over zoveel kritieke kwetsbaarheden in SAP HANA worden gepubliceerd.
Deze kwetsbaarheden vertegenwoordigen een potentiële schadepost voor tienduizenden SAP-klanten, waaronder Forbes Global 2000-ondernemingen in alle sectoren, zoals de olie- en aardgasindustrie, overheidssector, farmaceutische industrie en andere belangrijke sectoren. Experts schatten dat een inbraak op SAP-systemen sommige organisaties potentieel 22 miljoen dollar per minuut kan kosten door de onderbreking van productie en distributie of door het verlies van communicatiestromen of data. De kwetsbaarheden in SAP HANA zouden ook een wissel kunnen trekken op de wereldeconomie. Ze zouden namelijk door hackers kunnen worden gebruikt als ingangspunt voor overheidsspionage, bedrijfsspionage, financiële fraude en sabotage van belangrijke bedrijfssystemen.
“De volgende grote golf van aanvallen is gericht op bedrijfskritische SAP- en Oracle-applicaties. Deze vormen voor cybercriminelen het ultieme economische doelwit, en voor chief information security officers (CISO’s) vormen ze de grootste blinde vlek. De kosten van deze aanvallen kunnen enorm oplopen, zoals blijkt uit de fameuze SAP-gerelateerde gegevensdiefstal bij USIS”, aldus Mariano Nunez, de CEO van Onapsis. “Onapsis werkt als partner van SAP nauw samen met de softwareleverancier om de ‘kroonjuwelen’ van zijn klanten te beschermen en het aanvalsoppervlak van hun organisatie te verkleinen.”
De nieuwe beveiligingsadviezen van Onapsis Research Labs™ hebben betrekking op acht kritieke kwetsbaarheden, vijf kwetsbaarheden met een hoog risico en zeven kwetsbaarheden met een gemiddeld risico. Al deze kwetsbaarheden houden verband met SAP HANA, de uiterst populaire nieuwe reeks van oplossingen waarin ondernemingen hun bedrijfsgegevens en –processen kunnen onderbrengen. Het merendeel van de negen kritieke kwetsbaarheden heeft betrekking op de kerninterfaces van TrexNet die zorg dragen voor de communicatie tussen servers ter ondersteuning van de high avaibility-scenario’s van grote ondernemingen. HANA groeit in rap tempo uit tot de onderliggende technologische infrastructuur voor alle SAP-applicaties, terwijl het SAP HANA Cloud Platform bedrijven de mogelijkheid biedt om hun bestaande cloud-applicaties uit te breiden en ondersteuning te bieden voor een omvangrijk ecosysteem van apps van externe leveranciers. Deze twee factoren dragen bij aan een aanzienlijke groei van het aanvalsoppervlak.
De experts in SAP-beveiliging van Onapsis Research Labs kregen toegang tot de systemen van honderden Global 2000-organisaties en drukten de impact van deze en andere prominente kwetsbaarheden in cijfers uit. Dit gebeurde op basis van een “Business Risk Illustration” (BRI)-kader dat de beschikbaarheid, integriteit en vertrouwelijkheid van data analyseert.
“Het is tijd dat de branche zich serieus gaat bezighouden met de beveiliging van SAP-systemen. Als een aanvaller misbruik maakt van deze kwetsbaarheden, kan de schade oplopen tot de hoogste kostenpost die we ooit hebben gerapporteerd. Ze stellen cybercriminelen in staat om alle mogelijke bedrijfsgegevens op te vragen, wijzigen en verwijderen, inclusief klantengegevens, productprijzen, financiële overzichten, werknemersgegevens, toevoerketeninformatie, business intelligence, intellectueel eigendom, budgetten, planningen en prognoses. SAP-systemen zouden bovendien volledig door een aanvaller kunnen worden vergrendeld of overgenomen”, aldus Juan Perez-Etchegoyen, de CTO van Onapsis.
De analyses van de SAP-experts van Onapsis Research Labs resulteerden in de volgende observaties:
- Bij elke installatie van SAP HANA tot en met service pack 7 is de TrexNet-interface standaard opengesteld voor het externe netwerk. In versies na SPS7 is dit niet het geval, maar maakt de interface evenmin gebruik van encryptie of authenticatie.
- Organisaties zouden hun SAP HANA-omgevingen zodanig moeten configureren dat deze interfaces met elkaar communiceren via een netwerk dat is afgescheiden van het externe netwerk en gebruikmaken van encryptie en authenticatie voor het dataverkeer tussen de SAP HANA-systemen. Doen ze dat niet, dan lopen ze kans om slachtoffer te worden van misbruik van deze kwetsbaarheid.
De belangrijkste vier maatregelen die CISO’s kunnen nemen
Er zijn geen patches beschikbaar voor de kwetsbaarheden rond TrexNet, en deze dienst kan evenmin worden gedeactiveerd. Het opnieuw configureren van het systeem is de enige oplossing, maar dit moet wel op de juiste wijze gebeuren. Naast het raadplegen van de security notes die door SAP worden gepubliceerd, raadt Onapsis Research Labs gebruikers van SAP-systemen aan om de volgende stappen te nemen:
- Stap 1. Zorg voor een juiste configuratie van de TrexNet-communicatie. In high availability-omgevingen is deze communicatie van cruciaal belang voor een juiste werking van SAP HANA. Zorg ervoor dat het netwerk waar deze communicatie plaatsvindt is geïsoleerd van de eindgebruikers en niet toegankelijk is via enig ander netwerk. Verder is het belangrijk om gebruik te maken van encryptie van het dataverkeer en authenticatie. Als er slechts één instance van SAP HANA wordt gebruikt, moet ervoor worden gezorgd dat alle TrexNet-interfaces inluisteren op de netwerkinterface localhost.
- Stap 2. Bewaak de activiteiten van gebruikers. Een aantal kritische kwetsbaarheden zou zowel door legitieme gebruikers als cybercriminelen kunnen worden benut om een verbinding te maken met kwetsbare componenten (SQL en HTTP). Bewaak daarom het http-verkeer en analyseer de http- en SQL-logbestanden op verdachte activiteit.
- Stap 3: Implementeer detectie- en responsmechanismen. Breid uw strategie voor informatiebeveiliging uit met voortdurende bewaking van SAP- en SAP HANA-systemen en zorg voor de aanlevering van real-time, preventie-, detectie- en herstelinformatie aan bestaande SIEM- of GRC-tools.
- Stap 4 (voor klanten van Onapsis): Maak gebruik van uitgebreide dekking. Klanten die zich abonneren op het Onapsis Security Platform zullen proactief door de experts van Onapsis worden benaderd met informatie en advies over de kwetsbaarheden. Ze profiteren daarnaast van de automatisch bijgewerkte detectieregels van het platform en voortdurende bewaking en identificatie van pogingen om misbruik te maken van deze kwetsbaarheden.
Kwetsbaarheden die geen verband houden met het TrexNet-protocol zouden moeten worden gepatched volgens de instructies in de ‘security notes’ van SAP.
Deel 1 van de ‘Onapsis SAP HANA System Security Review’.
Nadere informatie over elk beveiligingsadvies is te vinden op het Onapsis Security Blog, dat verwijst naar de security notes van SAP, de CVSS-scores, de relevantie van de geïdentificeerde kwetsbaarheden voor bedrijfsomgevingen, een beschrijving van de betrokken componenten en de herstelmaatregelen die organisaties kunnen treffen.
Onapsis Research Labs organiseert op 12 november om 15:00u en 20:00u een webcast waarin het nader ingaat op de kwetsbaarheden, risico’s en aanbevolen maatregelen voor het beschermen van SAP-systemen.
