Onapsis Research Labs Report

SAP Malware-Update: Anatomie eines C2-Angriffs

Cyberangriff, SAP, Malware
Quelle: T. Schneider / Shutterstock.com

Die Onapsis Research Labs veröffentlichen neueste Erkenntnisse zu einem C2-Angriff (Command and Control) auf SAP. Dabei nutzen die Angreifer eine Sicherheitslücke in SAP (CVE-2010-5326) für die Remote-Befehlsausführung aus, um einen nicht authentifizierten Angriff auf das SAP Invoker Servlet zu initiieren.

Der beobachtete Vorfall war erfolgreich und führte zu einer Kompromittierung des unter Linux laufenden SAP-Systems.

Anzeige

Das letztliche Ziel einer Kompromittierung zu identifizieren, ist schwierig. Trotzdem ist es in diesem Fall gelungen, eine der wichtigsten Absichten des Angreifers zu erkennen und sofort mit dem Überwachungsteam entgegenzusteuern.

  • Der Angreifer nutzte die Infrastruktur der SAP-Anwendung, um zu versuchen, einen Denial-of-Service-Angriff auf andere Systeme zu starten.
  • Die Analyse der Binärdateien auf dem kompromittierten System bestätigten dieses Vorgehen.
  • Der Angreifer interagierte zunächst über einen Virtual Private Server (VPS) mit dem betroffenen System, um seine Quelladresse zu anonymisieren.
  • Während der Nutzung des VPS wurde die Automatisierung für die Erkennung und den ersten Zugriff eingesetzt.
  • Nach der ersten Kompromittierung interagierte der Angreifer direkt mit dem System. In diesem Stadium setzte der Angreifer die Malware ein und versuchte, einen Denial-of-Service-Angriff auf ein Drittsystem durchzuführen.

Dieser Vorfall der Remotecodeausführung durch eine SAP-Schwachstelle zeigt, wie wichtig die Implementierung robuster Cybersicherheitsmaßnahmen für SAP ist, um ähnliche Angriffe in Zukunft zu verhindern. Die erfolgreiche Ausnutzung dieser Schwachstelle unterstreicht zudem die Bedeutung eines umfassenden und proaktiven Ansatzes zum Schutz digitaler Daten und Werte und dem Sicherstellen der Integrität kritischer Systeme.

Um künftige Angriffe mit Remote-Code-Ausführung zu verhindern und die Sicherheit im Zusammenhang mit Sicherheitslücken in SAP zu erhöhen, werden die folgenden Präventivmaßnahmen dringend empfohlen:

Anzeige
  • Häufiges Patching und Updates: Halten Sie SAP-Systeme auf dem neuesten Stand und wenden Sie die vom Hersteller bereitgestellten Sicherheitspatches an. Da für bekannte Schwachstellen häufig bereits Lösungen zur Verfügung stehen, ist eine konsequente Update-Strategie unerlässlich.
  • Rollen- und Berechtigungsmanagement: Beschränken Sie den Zugriff auf bestimmte Funktionen und Merkmale innerhalb von SAP auf die Benutzer, die sie benötigen. Kontrollieren und schränken Sie Rollen und Berechtigungen rigoros ein und minimieren Sie so die Angriffsfläche.
  • Eingabefilterung und -validierung: Implementieren Sie strenge Eingabefilterungs- und Validierungskontrollen in SAP-Anwendungen. Dies kann dazu beitragen, das Einschleusen von bösartigem Code zu verhindern.
  • Kontinuierliches Monitoring und Detection: Richten Sie Echtzeit-Überwachungs- und Erkennungssysteme ein, um verdächtige oder ungewöhnliche Aktivitäten zu erkennen. Überwachen Sie Versuche, die Schwachstelle auszunutzen, und reagieren Sie proaktiv auf alle Anzeichen eines Angriffs.
  • Cybersicherheitstrainings: Schulen Sie Ihre Mitarbeitende in Grundlagen der Cybersicherheit und in der Erkennung potenzieller Bedrohungen.

Weitere detaillierte Informationen zum Vorgehen und dem Malware Drop finden Sie im kompletten Report.

(vp/Onapsis Research Labs)

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.