Patches für RFC-Protokoll

SAP-Systeme offenbaren massive Sicherheitslücken

03.07.2023
Von 
Martin Bayer ist Chefredakteur von COMPUTERWOCHE, CIO und CSO. Spezialgebiet Business-Software: Business Intelligence, Big Data, CRM, ECM und ERP.
Eine Reihe von Schwachstellen im RFC-Protokoll machen SAP-Systeme angreifbar. Um die Lücken zu schließen, sei neben den Patches und aber auch eine Rekonfiguration nötig, sagen Spezialisten von SEC Consult.
SAP-Anwender sollten die Sicherheitslücken im RFC-Protokoll schleunigst schließen - sonst könnten Hacker die eigenen SAP-Systeme kapern.
SAP-Anwender sollten die Sicherheitslücken im RFC-Protokoll schleunigst schließen - sonst könnten Hacker die eigenen SAP-Systeme kapern.
Foto: Black_Kira - shutterstock.com

Forscher am Vulnerability Lab von SEC Consult hatten bereits vor längerer Zeit massive Schwachstellen im Remote-Function-Call- (RFC-)Protokoll von SAP entdeckt. Mittlerweile stehen Patches zur Verfügung. Doch die Lücken ganz zu schließen, scheint alles andere als trivial zu sein. Neben dem Einspielen der Patches sei darüber hinaus eine Rekonfiguration der SAP-Systeme vonnöten, schreibt der Wiener Security-Spezialist in einer Mitteilung.

Diese SAP-Schwachstellen nutzen Cybergangster

Die SEC-Consult-Verantwortlichen warnen, die RFC-Schwachstellen auf die leichte Schulter zu nehmen. Die Security-Lücken machten die gesamte IT-Infrastruktur angreifbar und könnten fatale Folgen haben, wenn die SAP-Anwenderunternehmen nicht handelten. SAPs proprietäres RFC-Protokoll dient dazu, SAP- und Non-SAP-Systeme miteinander zu verbinden. Ein wichtiger Anwendungszweck ist die Abwicklung von Transaktionen über Systemgrenzen hinweg, beispielsweise für die Replikation und Synchronisation von Datenbeständen.

Hacker könnten SAP-Systeme komplett übernehmen

Die entdeckten RFC-Schwachstellen erlaubten es Hackern, die Authentifizierung auf Server-Seite zu umgehen, in das entsprechende IT-System einzubrechen und letztendlich die Server komplett unter die eigene Kontrolle zu bringen, konstatierten die Sicherheitsexperten. Zu den betroffenen SAP-Systemen zählen Business-Anwendungen wie SAP S/4HANA und SAP ERP Central Component (ECC) sowie das SAP Business Warehouse (BW), der SAP Solutions Manager (SolMan), SAP Supplier Relations Management (SRM), SAP Human Capital Management (HCM) und SAP Employee Central Payroll (ECP) wie auch Branchenlösungen zum Beispiel SAP for Oil & Gas (IS Oil&Gas) und SAP for Utilities (IS-U).

Mittlerweile stünden alle notwendigen Patches bereit, hieß es. Bereits seit März dieses Jahres schickt SEC Consult Warnungen an betroffene Unternehmen heraus. "Bei Unternehmen, die bislang noch nicht aktiv gepatcht haben, besteht akuter Handlungsbedarf", appelliert Johannes Greil, Leiter des SEC Consult-eigenen Security Research Labors Vulnerability Lab, an säumige User. "Ich rate dazu, umgehend zu reagieren."

SAP setzt auf IT-Sicherheitslösung der Schwarz-Gruppe

Dabei gebe es jedoch einiges zu beachten, führt Greil weiter aus. "Es reicht nicht aus, die verfügbaren Patches zu installieren - eine fachgerechte Rekonfiguration der Systeme gemäß Herstellerangaben ist ebenfalls notwendig." Da es sich um eine ganze Reihe von Schwachstellen handelt, die verschiedene Bereich betreffen wie zum Beispiel die systeminterne Kommunikationsarchitektur oder die Trusted/Trusting-Architektur, scheint die Lösung komplex zu sein.

Kein Workaround für alle Probleme

"Uns ist kein voll funktionsfähiger Workaround bekannt, der alle entdeckten Probleme entschärfen würde und der kurzfristig praktikabel wäre", stand in einer Mitteilung von SEC Consult. Falls das Einspielen der Patches für ein Anwenderunternehmen nicht in Frage komme, empfehlen die Security-Experten dringend den Netzwerkzugriff (RFC/HTTP) auf anfällige Server so weit wie möglich einzuschränken, um die Angriffsfläche zu minimieren.

Darüber hinaus sollten SAP-Anwender die verschlüsselte Kommunikation zwischen Servern mittels HTTPS und SNC vollständig erzwingen, die Berechtigungsverteilungen S_RFC und S_RFCACL auf ein absolutes Minimum reduzieren, die Funktionsaufrufe des Funktionsbausteins RFC_TRUSTED_SYSTEM_SECURITY einschränken und überwachen sowie den Zugriff auf die Tabelle RFCSYSACL begrenzen.

"Wir sind uns bewusst, dass das Patchen von kundenspezifischen SAP-Software-Systemen Aufwand erfordert", sagen die SEC-Verantwortlichen. Da Patches und Korrekturanleitungen bereits seit geraumer Zeit zur Verfügung stünden, habe man sich entschlossen, "den Prozess der verantwortungsvollen Offenlegung mit der koordinierten Veröffentlichung technischer Details abzuschließen". In einem 34-seitigen Whitepaper erläutert Fabian Hagg vom SEC Consult Vulnerability Lab, was SAP-Anwender jetzt tun sollten.

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

Jetzt CSO-Newsletter sichern