Log4j Sicherheitslücke und SAP (CVE-2021-44228)
Erst vor wenigen Tagen, am 10.12.2021, hat das BSI zur kritischen Sicherheitslücke in der weitverbreiteten Open-Source Java-Logging-Bibliothek log4j roten Alarm gemeldet. In den letzten Tagen ist viel passiert. Log4j-core, das konkret betroffene Modul, sorgt grundsätzlich dafür, dass in Java-basierten Anwendungen Logfiles geschrieben bzw. interpretiert werden. Die dabei ausgenutzten „Auflösungen“ (also Lookups via JDNI-API) ermöglichen einem Angreifer, der die Protokollnachrichtenparameter kontrollieren kann, beliebigen Code auszuführen, der bspw. von einem Evil-LDAP-Server geladen wird.
Die inzwischen als Log4Shell bezeichnete Sicherheitslücke ermöglicht es Angreifern, die Ausführung eines Codes auf entfernten Servern bis hin zu einer Remote Shell vorzunehmen, welche den Zugriff auf das kompromittierte System ermöglicht. Dadurch werden weitere Angriffe auch auf interne Systeme ermöglicht.
Die in CVE-2021-44228 dokumentierte Schwachstelle kommt praktisch in jeder Java-Anwendung zum Einsatz und wird derzeit aktiv ausgenutzt. Das Risiko gemäß Common Vulnerability Scoring System (CVSSv3) wurde mit 10/10 bewertet.
Und ja, natürlich sind auch SAP-Anwendungen bzw. Anwendungsserver (On-Premise & Cloud) von dieser Schwachstelle betroffen. Hersteller wie die SAP haben bereits eine Stellungnahme zur Betroffenheit ihrer Systeme veröffentlicht und entsprechende Patches angeboten. Hier findet sich eine Liste mit betroffenen SAP-Anwendungen, die seitens SAP ständig erweitert wird. Daraus geht hervor, welche Anwendungen aktuell nicht betroffen sind, wo bereits Patches seitens SAP umgesetzt wurden und wo es noch an Patches fehlt. Hierbei zeigt sich, dass insbesondere bei den Cloud-Produkten seitens SAP ein schnelles Handeln möglich war.
Abhilfe schafft, wie so oft, der Einsatz einer neueren Version, z. B. sind ab Version log4j ab 2.16.0 die Lookups standardmäßig deaktiviert. Dieses Verhalten kann mitigiert werden, indem die Systemeigenschaft „log4j2.formatMsgNoLookups“ auf „true“ gesetzt oder die JndiLookup-Klasse aus dem Klassenpfad entfernt wird, was aber nicht bei Versionen log4j >2.9 möglich ist. Nach aktuellen Erkenntnissen sind also alle Versionen von 2.x-2.14x betroffen.
Natürlich ist der konkrete Impact auf ein SAP-Unternehmen nun schwer abzuschätzen, doch auch hier zeigt sich wieder, wer seine Hausaufgaben gemacht und für einen ausreichenden Grundschutz gesorgt hat, kann deutlich besser schlafen. Bei vielen SAP-Unternehmen mangelt es jedoch noch immer aus Gründen wie Zeit, Kosten oder Unwissenheit an der Umsetzung oft rudimentärer Maßnahmen.
Viele Angriffe, die auf Netzwerkebene über kompromittierte Hosts, ggf. direkt aus dem Intranet erfolgen, können mit Maßnahmen wie Netzwerksegmentierung oder Mikro-Segmentierung sowie korrekt konfigurierte Firewalls verhindert werden. Schließlich muss das angegriffene System eine ausgehende Verbindung zum Angreifer-LDAP Server herstellen können, was per se nicht möglich sein sollte. Es zeigt sich, dass grundlegende Netzwerk-Security und ein sauberes Zonen-Konzept hier bereits Abhilfe schaffen können.
Dies in Kombination mit einer Token-basierten Anmeldung am SAP-System (SSO), sauber berechtigten SAP-Berechtigungen und RFC-Schnittstellen und einem Security-Monitoring Ihrer SAP-Landschaft, hilft bereits gegen viele Angriffe, die in diesem Kontext möglich sind. So ein Monitoring sollte auch erkennen, ob der SAP Message-Server und die ACLs der SAP Gateways sauber konfiguriert wurden, ob die interne Serverkommunikation gemäß SAP-Hinweis 2040644 abgesichert oder der Einsatz von TLS- und SNC-Verschlüsselung im Unternehmen umgesetzt wurde uvm.
Was können Sie tun?
Xiting ist umfassender Security-Anbieter im SAP-Umfeld. Aus gegebenem Anlass haben wir uns auch hier die Frage gestellt, was wir unseren Kunden und Interessenten konkret anbieten können. Hilfestellung leistet der in der Xiting Authorizations Management Suite (XAMS) integrierte Security Architect, der in Kombination auch als Monitoring-Tool im SIEM-Umfeld einzusetzen ist.
Darüber hinaus ist es wichtig, schon bestehende Mechanismen wie Sicherheitsverschlüsselung und andere Methoden, die im SAP-System verfügbar sind, zu aktivieren. Dazu haben wir in den vergangenen Jahren sehr viel Know-how mit unseren Security-Experten aufgebaut.
Wenn sie jetzt noch immer nicht wissen, was Sie tun sollen, sprechen Sie uns an. Anhand einer Analyse Ihres Systems können wir Ihnen auf Grundlage dieser Analyse wertvolle Hinweise geben, wie sie sich sicherer fühlen können und zukünftig vor Angriffen besser gewappnet sind.
Informieren Sie sich hier über unsere Security Services:
- Sichere Schnittstellen
- Sicherheitsüberprüfung Ihres SAP-Systems
- Security Support
- Cloud-Integration leicht gemacht: Xiting Central Workflows (XCW) trifft auf SAP Cloud - 30. Juli 2024
- Von Wehmut und Vorfreude: Das bevorstehende Ende von SAP IDM - 20. März 2024
- 2024 SAP Cloud Identity Services & IAM Portfolio: Was ist neu? - 26. Februar 2024