Is er al ingebroken op jouw SAP-systeem?

CIO's moeten direct met hun security-officers actie ondernemen om de veiligheid van hun SAP-systemen te waarborgen, nu er 2 exploits zijn vrijgegeven.

Beveiligingsexperts waarschuwen dat recent gepubliceerde, eenvoudig te gebruiken exploits voor bekende SAP-beveiligingsproblemen kunnen leiden tot een golf van aanvallen op SAP-systemen die tienduizenden bedrijven kunnen treffen. De exploits stellen hackers op afstand in staat om de betrokken SAP-applicaties en de bedrijfsgegevens die ze bevatten, in gevaar te brengen.

De kwetsbaarheden zelf komen voort uit onveilige standaardconfiguraties van SAP Gateway en SAP Message Server, twee componenten die door verschillende SAP-bedrijfsapplicaties worden gebruikt en in veel omgevingen voorkomen. Sommige van deze problemen zijn al meer dan tien jaar bekend, maar volgens beveiligingsbedrijf Onapsis zijn ze nog steeds aanwezig in veel implementaties.

Op basis van assessments die in de loop der jaren voor grote organisaties zijn uitgevoerd, schat Onapsis dat de problemen van invloed zijn op negen van de tien SAP-systemen die door meer dan 50.000 SAP-gebruikers wereldwijd worden gebruikt - in totaal ongeveer 900 miljoen systemen. Meer dan 400.000 organisaties uit de hele wereld gebruiken SAP-softwareproducten, waaronder enkele van de grootste multinationals.

De toepassingen die gebruik maken van de potentieel kwetsbare componenten en kunnen worden beïnvloed door deze exploits zijn onder andere SAP S/4HANA, SAP Enterprise Resource Planning (ERP), SAP Product Lifecycle Management (PLM), SAP Customer Relationship Management (CRM), SAP Human Capital Management (HCM), SAP Supply Chain Management (SCM), SAP Supplier Relationship Management (SRM), SAP NetWeaver Business Warehouse (BW), SAP Business Intelligence (BI), SAP Process Integration (PI), SAP Solution Manager (SolMan) en SAP Governance, Risk & Compliance 10.x (GRC) en SAP NetWeaver ABAP Application Server 7.0 - 7.52.

Onapsis publiceerde een rapport en detectieprofielen die werken met het Snort open-source-inbraakdetectiesysteem, omdat de nieuwe exploits het aanzienlijk gemakkelijker maken om aanvallen uit te voeren. De dreiging tegen SAP-systemen is dus niet langer afkomstig van nationale cybespionagegroepen of zeer geavanceerde cybercriminelen, maar van vrijwel iedereen die een zoekmachine als Shodan kan gebruiken.

"In de verkeerde handen kunnen deze exploits veel schade veroorzaken", vertelt Onapsis CEO Mariano Nunez van Onapsis. "Iedereen kan een van deze exploits gewoon downloaden, op het IP-adres van een SAP-systeem richten en met één commando het systeem volledig uitwissen en alle bedrijfsprocessen verstoren. Ik denk dat de lat drastisch lager legt voor wie SAP-applicaties daadwerkelijk zou kunnen aanvallen en dus het risico verhoogt omdat het de kans vergroot dat dit zal gebeuren. Wij geloven dat we een toename van aanvallen zullen zien die deze exploits en kwetsbaarheden benutten."

Die aanvallen kunnen vele vormen aannemen – van hacktivisten die bedrijven proberen te kwetsen die zij om een of andere reden niet leuk vinden door hun bedrijfsverrichtingen te onderbreken en significante financiële verliezen te veroorzaken tot ransomeware-achtige aanvallen die webservers en gegevensbestanden raken, waar de aanvallers gegevens schrappen en om losgeld vragen. Natuurlijk zijn er ook meer geavanceerde en goed geplande aanvallen mogelijk, waarbij gevoelige bedrijfsgegevens worden gestolen en zelfs kwaadwillige wijzigingen van gegevens worden aangebracht.

De uitdagingen voor SAP-gebruikers

Een van de redenen waarom veel organisaties na zoveel jaren nog steeds kwetsbaar zijn voor deze bekende problemen is de complexiteit van hun SAP-omgevingen. Bedrijven hebben hun SAP-systemen sterk aangepast aan eigen behoeften en Nunez schat dat bij elke SAP-implementatie gemiddeld 2 miljoen regels aangepaste code wordt toegevoegd.

Deze systemen draaien bedrijfskritische processen, dus als een beveiligingspatch incompatibiliteit met deze aanpassingen veroorzaakt en business downtime veroorzaakt, kan de organisatie grote hoeveelheden geld verliezen.

Het aanpakken van deze problemen vereist het veranderen van twee instellingen, maar terwijl de ene verandering relatief eenvoudig te maken is, kan de andere een jaar lang een project zijn voor een middelgrote tot grote SAP-implementatie en zou het aanzienlijke middelen vereisen, zegt Nunez. "Maar de inzet is te hoog. Toch? Dus, als je het niet doet, is het duidelijk wat er mis kan gaan."

Bekende kwetsbaarheid zelfs in cloud

Onapsis vindt deze configuratieproblemen echter regelmatig terug, zelfs bij nieuwe SAP-implementaties in de cloud, die niet de complexiteit hebben zoals oudere implementaties on premises. Dit suggereert dat het probleem dieper gaat en dat veel bedrijven deze implementaties niet uitvoeren met een focus op security. Bovendien zijn deze systemen in publieke clouds gezet, waardoor de risico's die deze systemen lopen nog groter zijn.

"Ik denk dat dat ook te maken heeft met hoe de industrie de beveiliging van SAP-toepassingen benadert", zegt Nunez. "Er is heel wat nadruk bij het scheiding-van-plichten type van control – fundamenteel wie kan wat doen zodra zij toegang tot het systeem hebben – maar zij daarbij wordt niet werkelijk gekeken of de technische instellingen van het systeem veilig zijn."

"Ik denk dat ze niet begrijpen dat er technische omstandigheden zijn die onmiddellijke en verwoestende gevolgen kunnen hebben voor het bedrijf en de financiën", zegt Nunez. "Een aanvaller met deze mate van toegang kan activiteiten uitvoeren die kunnen leiden tot materiële onjuistheden in de financiële gegevens."

Het configureren van toegangscontroles en rollen in SAP-applicaties om te voorkomen dat medewerkers toegang hebben tot meer gegevens dan ze zouden moeten doen, is een manier voor organisaties om zichzelf te beschermen tegen bedreigingen van buitenaf, wat belangrijk is voor hun veiligheidspositie. Als de technische instellingen van het hele systeem echter in een onveilige staat worden gelaten, kunnen zowel malafide medewerkers als kwaadwillende hackers gemakkelijk al die controles op de toegang tot gegevens omzeilen en volledige en onbeperkte toegang tot het hele systeem verkrijgen.

"In de meeste omgevingen die we zien, is SAP echt niet goed gesegmenteerd op het interne netwerk, dus iedereen die is aangesloten op het lokale netwerk of via een VPN, zoals een partnerbedrijf, kan een dergelijke exploit gebruiken om volledige controle over het systeem te krijgen", zegt Nunez.

Gebrek aan controle-instrumenten

Een ander probleem is het gebrek aan monitoringtools die zijn geconfigureerd om aanvallen en exploits tegen SAP-systemen te detecteren. Dit betekent dat in veel gevallen, als er een aanval plaatsvindt en er geen duidelijke systeemverstoring of gegevensaanpassing is, deze onontdekt kan blijven.

Dit aspect maakt het volgens Nunez zeer moeilijk in te schatten in hoeverre de actieve exploitatie van deze onveilige SAP-configuratieproblemen zich in de loop der jaren heeft voorgedaan. Maar SAP-systemen staan wel degelijk op het radarbeeld van de aanvallers.

Vorig jaar publiceerde Onapsis samen met een ander bedrijf, Digital Shadows genaamd, een rapport over de toegenomen hackeractiviteit gericht op ERP-toepassingen. Dat rapport ging over aanvalscampagnes van hacktivistische groepen tegen SAP en Oracle ERP-applicaties, aanvallen op ERP-applicaties door nationale actoren en discussies over SAP-hacking en ERP-exploits op cybercriminele fora.

Wat moeten organisaties die SAP gebruiken doen?

"Als CIO of CEO van een bedrijf zou ik mijn SAP-serviceprovider en cybersecurityleverancier samenbrengen in een ruimte en hen vragen om eerst te achterhalen welke systemen aan deze exploits worden blootgesteld en vervolgens zou ik twee werkstromen op gang brengen," zegt Nunez. Een daarvan zou zijn om bewakingsmogelijkheden toe te voegen om eventuele pogingen tot exploit te detecteren en de andere zou zijn om het saneringsproces meteen te starten.

Bedrijven zouden de blootstelling van hun SAP-omgevingen aan deze bedreigingen moeten beoordelen, te beginnen met de systemen die aan het internet worden blootgesteld, zouden vervolgens monitoringmogelijkheden moeten inzetten en het herstelproces zo snel mogelijk moeten starten. SAP biedt richtlijnen voor het oplossen van deze problemen in Security Notes #821875, #140808081 en #1421005 op hun klantenportal en het Onapsis-rapport bevat gedetailleerde stappen over hoe te controleren of systemen kwetsbaar zijn.

"Continue monitoring kan je een zekere mate van compensatie bieden voor controles terwijl u het risico beperkt, maar uiteindelijk is de enige oplossing om deze beveiligingsinstellingen te repareren en veilig te houden," zegt Nunez. "Het zal maanden of jaren duren, waar je ook begint, maar nu de exploits openbaar zijn, is het hoe meer je wacht, hoe meer risico's en risico's je neemt."

Related:

Copyright © 2019 IDG Communications, Inc.

Download CIO's Roadmap Report: Data and analytics at scale