Lange Zeit als undurchsichtige Blackbox betrachtet, konzentrieren sich Angreifer zunehmend auf das Hacken von Unternehmenssystemen von SAP, so die auf der Black Hat Europe 2024 vorgestellte Studie.
Eine Auswertung von Bedrohungsdaten aus vier Jahren, die Yvan Genuer, ein leitender Sicherheitsforscher bei Onapsis, am Freitag auf der Black Hat vorstellte, zeigt, dass das Interesse der Hacker am Einbruch in ERP-Systeme von SAP im Jahr 2020 stark zunahm und bis Ende 2023 anhielt.
Die überwiegende Mehrheit (87%) der in der Forbes-Global-2000-Liste aufgeführten weltgrößten Unternehmen setzt nach Angaben des Unternehmenssoftwareherstellers SAP ein, wobei die Technologie 77% des weltweiten Transaktionsumsatzes abwickelt.
Das auf ERP spezialisierte Cybersecurity-Unternehmen Onapsis und der Threat-Intelligence-Forschungspartner Flashpoint analysierten Aktivitäten auf kriminellen Foren, Ransomware-Vorfällen, Chat-Seiten und Ransomware-Gruppenseiten.
Verschiedene Gruppen, darunter Cyberkriminelle (FIN13 "Elephant Beetle", die russische Cyberkriminelle FIN7 und Cobalt Spider), Cyberspionage-Crews (Chinas APT10) und Skript-Kiddies, haben es auf SAP-bezogene Schwachstellen abgesehen.
SAP-Exploits werden von kriminellen Gruppen verkauft
Die Sicherheitslücken CVE-2020-6287 (RECON) und CVE-2020-6207 (fehlende Authentifizierung im SAP Solution Manager) haben die Diskussion darüber, wie SAP-Systeme am besten ausgenutzt werden können, befeuert.
Onapsis führte ein Beispiel an, bei dem ein angeblicher Exploit für SAP Secure Storage im August 2020 für $25.000 zum Verkauf angeboten wurde. Im September 2020 boten Käufer $50.000 für SAP NetWeaver Pre-Authentication Remote Code Execution oder Authentication Bypass Exploits an. Spätere Beiträge boten bis zu $250.000 für funktionierende Exploits gegen SAP-Systeme.
Aktive Diskussionen in cyberkriminellen Foren über SAP-spezifische Cloud- und Webdienste haben laut Onapsis von 2021 bis 2023 um 220% zugenommen.
Cyberkriminelle tauschen sich in diesen Foren häufig darüber aus, wie sie SAP-Schwachstellen ausnutzen können, und tauschen Tipps und Tricks aus, wie sie SAP-Kompromittierungen zu Geld machen und Angriffe auf potenzielle Opfer durchführen können.
Parallel dazu hat sich die Zahl der Ransomware-Vorfälle, die SAP-Systeme betreffen, seit 2021 verfünffacht (400%). Auch ungepatchte SAP-Schwachstellen werden ausgenutzt und in Ransomware-Kampagnen verwendet.
Öffentliche kritische Exploits sind vier Jahre alt und verlieren daher ihre Wirksamkeit, so dass Bedrohungsakteure laut Onapsis daran interessiert sind, "frische" Waffen in die Hände zu bekommen. Auch öffentlich bekannt gewordene Schwachstellen in SAP-Anwendungen wie CVE-2021-38163 und CVE-2022-22536 sind im Visier.
Hacker laben sich an behobenen, aber nicht gepatchten Sicherheitslücken
Viele Angriffe nutzen bekannte, aber nicht gepatchte Schwachstellen in SAP-Systemen aus.
Die Nachfrage nach SAP-Zero-Days (ungepatchte Schwachstellen) von verschiedenen Gruppen steigt, da sie eine potenziell große Investitionsrendite darstellen, so Onapsis. "SAP ist nicht länger eine Blackbox - betrachten Sie SAP-Anwendungen als Zielscheibe", warnte Genuer von Onapsis und fügte hinzu, dass nicht nur Systeme, die dem Internet ausgesetzt sind, gehackt werden.
Onapsis kam zu dem Schluss, dass die Komplexität von SAP-Systemen und ihre Integration in umfassendere Geschäftsprozesse einzigartige Sicherheitsherausforderungen schaffen. Um potenziellen Bedrohungen einen Schritt voraus zu sein, müssen Unternehmen der regelmäßigen Patch-Verwaltung, Schwachstellenbewertungen und der Einführung fortschrittlicher Threat-Intelligence-Praktiken Vorrang einräumen, rät das Unternehmen.
Unabhängige Drittparteiexperten stimmten mit den Schlussfolgerungen von Oanapis überein, dass SAP-basierte Systeme zunehmend in den Fokus von Angreifern geraten sind.
"SAP-Systeme sind ein bevorzugtes Ziel für Angreifer, da sie eine wichtige Rolle bei der Verwaltung von Kernprozessen in großen Unternehmen spielen und sensible Daten wie Finanztransaktionen, geistiges Eigentum und persönliche Informationen speichern", so Chris Morgan, Senior Cyber Threat Intelligence Analyst bei ReliaQuest. "Die Entwicklung eines Exploits, der die sichere Speicherung entschlüsseln und laterale Bewegungen innerhalb von SAP-Systemen ermöglichen kann, erfordert ein hohes Maß an technischem Know-how und Aufwand, was einen hohen Preis rechtfertigt."
So entdeckte ReliaQuest beispielsweise ein Exploit für SAP-Systeme, das in einem bekannten Cyberkriminellen-Forum für fast $25.000 (zahlbar in Bitcoin) angeboten wurde und erstmals im August 2020 gelistet war.
Der Exploit erleichtert angeblich die seitliche Bewegung innerhalb der Zielsysteme. "In dem Posting wird behauptet, dass der Exploit SAP Secure Storage nutzen kann, um Anmeldeinformationen auszuspähen, Berechtigungen zu erhöhen und schließlich weitere SAP-Systeme über das ursprüngliche Ziel hinaus zu kompromittieren", so ReliaQuest.
SAP Secure Storage ist für die Verwaltung sensibler Daten und Berechtigungsnachweise in einer SAP-Umgebung von entscheidender Bedeutung und macht jeden Exploit für SAP-Systeme äußerst wertvoll für jeden, der unbefugten Zugriff oder erhöhte Privilegien sucht.
