Log4j Sicherheitslücke und SAP (CVE-2021-44228)

17. Dezember 202117. Dezember 2021 News, SAP-Berechtigungen, SAP-Sicherheit Carsten Olt

Erst vor wenigen Tagen, am 10.12.2021, hat das BSI zur kritischen Sicherheitslücke in der weitverbreiteten Open-Source Java-Logging-Bibliothek log4j roten Alarm gemeldet. In den letzten Tagen ist viel passiert. Log4j-core, das konkret betroffene Modul, sorgt grundsätzlich dafür, dass in Java-basierten Anwendungen Logfiles geschrieben bzw. interpretiert werden. Die dabei ausgenutzten „Auflösungen“ (also Lookups via JDNI-API) ermöglichen einem Angreifer, der die Protokollnachrichtenparameter kontrollieren kann, beliebigen Code auszuführen, der bspw. von einem Evil-LDAP-Server geladen wird.

Die inzwischen als Log4Shell bezeichnete Sicherheitslücke ermöglicht es Angreifern, die Ausführung eines Codes auf entfernten Servern bis hin zu einer Remote Shell vorzunehmen, welche den Zugriff auf das kompromittierte System ermöglicht. Dadurch werden weitere Angriffe auch auf interne Systeme ermöglicht.

Die in CVE-2021-44228 dokumentierte Schwachstelle kommt praktisch in jeder Java-Anwendung zum Einsatz und wird derzeit aktiv ausgenutzt. Das Risiko gemäß Common Vulnerability Scoring System (CVSSv3) wurde mit 10/10 bewertet.

Und ja, natürlich sind auch SAP-Anwendungen bzw. Anwendungsserver (On-Premise & Cloud) von dieser Schwachstelle betroffen. Hersteller wie die SAP haben bereits eine Stellungnahme zur Betroffenheit ihrer Systeme veröffentlicht und entsprechende Patches angeboten. Hier findet sich eine Liste mit betroffenen SAP-Anwendungen, die seitens SAP ständig erweitert wird. Daraus geht hervor, welche Anwendungen aktuell nicht betroffen sind, wo bereits Patches seitens SAP umgesetzt wurden und wo es noch an Patches fehlt. Hierbei zeigt sich, dass insbesondere bei den Cloud-Produkten seitens SAP ein schnelles Handeln möglich war.

Abhilfe schafft, wie so oft, der Einsatz einer neueren Version, z. B. sind ab Version log4j ab 2.16.0 die Lookups standardmäßig deaktiviert. Dieses Verhalten kann mitigiert werden, indem die Systemeigenschaft „log4j2.formatMsgNoLookups“ auf „true“ gesetzt oder die JndiLookup-Klasse aus dem Klassenpfad entfernt wird, was aber nicht bei Versionen log4j >2.9 möglich ist. Nach aktuellen Erkenntnissen sind also alle Versionen von 2.x-2.14x betroffen.

Natürlich ist der konkrete Impact auf ein SAP-Unternehmen nun schwer abzuschätzen, doch auch hier zeigt sich wieder, wer seine Hausaufgaben gemacht und für einen ausreichenden Grundschutz gesorgt hat, kann deutlich besser schlafen. Bei vielen SAP-Unternehmen mangelt es jedoch noch immer aus Gründen wie Zeit, Kosten oder Unwissenheit an der Umsetzung oft rudimentärer Maßnahmen.

Viele Angriffe, die auf Netzwerkebene über kompromittierte Hosts, ggf. direkt aus dem Intranet erfolgen, können mit Maßnahmen wie Netzwerksegmentierung oder Mikro-Segmentierung sowie korrekt konfigurierte Firewalls verhindert werden. Schließlich muss das angegriffene System eine ausgehende Verbindung zum Angreifer-LDAP Server herstellen können, was per se nicht möglich sein sollte. Es zeigt sich, dass grundlegende Netzwerk-Security und ein sauberes Zonen-Konzept hier bereits Abhilfe schaffen können.

Dies in Kombination mit einer Token-basierten Anmeldung am SAP-System (SSO), sauber berechtigten SAP-Berechtigungen und RFC-Schnittstellen und einem Security-Monitoring Ihrer SAP-Landschaft, hilft bereits gegen viele Angriffe, die in diesem Kontext möglich sind. So ein Monitoring sollte auch erkennen, ob der SAP Message-Server und die ACLs der SAP Gateways sauber konfiguriert wurden, ob die interne Serverkommunikation gemäß SAP-Hinweis 2040644 abgesichert oder der Einsatz von TLS- und SNC-Verschlüsselung im Unternehmen umgesetzt wurde uvm.

Was können Sie tun?

Xiting ist umfassender Security-Anbieter im SAP-Umfeld. Aus gegebenem Anlass haben wir uns auch hier die Frage gestellt, was wir unseren Kunden und Interessenten konkret anbieten können. Hilfestellung leistet der in der Xiting Authorizations Management Suite (XAMS) integrierte Security Architect, der in Kombination auch als Monitoring-Tool im SIEM-Umfeld einzusetzen ist.

Darüber hinaus ist es wichtig, schon bestehende Mechanismen wie Sicherheitsverschlüsselung und andere Methoden, die im SAP-System verfügbar sind, zu aktivieren. Dazu haben wir in den vergangenen Jahren sehr viel Know-how mit unseren Security-Experten aufgebaut.

Wenn sie jetzt noch immer nicht wissen, was Sie tun sollen, sprechen Sie uns an. Anhand einer Analyse Ihres Systems können wir Ihnen auf Grundlage dieser Analyse wertvolle Hinweise geben, wie sie sich sicherer fühlen können und zukünftig vor Angriffen besser gewappnet sind.

Informieren Sie sich hier über unsere Security Services:

Sichere Schnittstellen

RFC-Schnittstellenbereinigung

Sicherheitsüberprüfung Ihres SAP-Systems

SAP-Sicherheitsprüfung

Security Support

SAP Security Support

Über
Letzte Artikel

Carsten Olt

Managing SAP Security Consultant | SAP Trainer Secure Authentication | SSO | Cloud Security Services bei Xiting GmbH

Carsten Olt has been working as a Managing SAP Security Consultant since 2016, responsible for Secure Authentication & SSO and SAP Cloud Security Services at Xiting in Germany. As a member of the IAM team, he is also a team leader who conveys the company's goals and strategies to employees and has organizational responsibility.

With a security-minded approach, Carsten has international project and IT security experience in many industries. He has been working in IT-Security since 2001, specializing in SAP security since 2010. He is a subject matter expert for SAP Single Sign-On 3.0 and a trainer for the WDESSO course. His current focus is on supporting customers in solving authentication and security challenges within hybrid SAP landscapes, as well as designing and implementing holistic authentication concepts. Carsten is an ISACA CISA and a former MCP and RHCE with an ISP background, and he looks at security from different angles. He also translates between SAP and IT security vocabulary.

Carsten has in-depth experience in multi-vendor architectures and MSFT/Azure components, dealing with all the requirements concerning SAML 2.0, OAuth, OpenID Connect, SCIM, X.509 CBA & PKI, MFA, SAP SSO, and Secure Network Communications, Kerberos/SPNEGO, data security and encryption, as well as digital signatures.

Carsten is experienced in SAP on-premises components such as S/4HANA, ABAP, and Java, as well as security solutions like SSO 3.0. Since 2019, he has focused on SAP-Cloudified environments, specifically the SAP Cloud Identity Services and SAP BTP, as well as SaaS integrations concerning IAM. He deals with hybrid SAP security in conjunction with Azure Active Directory, ADDS, ADFS, ADCS, Reverse Proxies/WAF, SAP Web Dispatcher, SAP Cloud Connector, third-party products, and infrastructure components.

Letzte Artikel von Carsten Olt (Alle anzeigen)

Von Wehmut und Vorfreude: Das bevorstehende Ende von SAP IDM - 20. März 2024
2024 SAP Cloud Identity Services & IAM Portfolio: Was ist neu? - 26. Februar 2024
Success Story: Vetropack-Gruppe - 27. Juni 2022

	+41 43 422 8803 [email protected]
	+49 7656 8999 002 [email protected]
	+1 855 594 84 64 [email protected]
	+44 1454 838 785 [email protected]