SAP warnt vor sehr kritischen Sicherheitslücken

10. Februar 2022, 10:30
  • security
  • lücke
  • Onapsis
  • sap
image
Foto: Ben Dixon / Unsplash

Die Schwachstellen betreffen den Internet Communication Manager. Auch die US-Sicherheitsbehörde warnt. Patches sind bereits erhältlich.

SAP und die Cybersecurity and Infrastructure Security Agency (CISA) warnen gemeinsam vor Schwachstellen, die SAP-Anwendungen betreffen, die den SAP Internet Communication Manager (ICM) verwenden. Laut dem Alert der US-Behörde können Angreifer die Lücken unter anderem für den Diebstahl sensibler Daten, Finanzbetrug, Ransomware und die Übernahme von Systemen nutzen.
Die Cybersecurity-Firma Onapsis Research Labs und das SAP Product Security Response Team haben Berichte zu den Schwachstellen "CVE-2022-22532" (CVS-Score 8.1), "CVE-2022-22533" (CVS 7.5) sowie "CVE-2022-22536" veröffentlicht. Letztere gilt mit dem höchst möglichen Score 10 als sehr kritisch. Zu den bekannten betroffenen Produkten gehören laut SAP WebDispatcher, Content Server, ABAP und NetWeaver.
"Diese Schwachstellen können über das Internet ausgenutzt werden, ohne dass Angreifer in den Zielsystemen authentifiziert werden müssen, was sie sehr kritisch macht", sagte Mariano Nunez, CEO und Mitbegründer von Onapsis. Auch seien die Probleme standardmässig in der ICM-Komponente vorhanden. "Eine einfache HTTP-Anfrage, die von keiner anderen gültigen Nachricht zu unterscheiden ist und ohne jegliche Art von Authentifizierung, reicht für eine erfolgreiche Exploitation aus."
SAP hat die Schwachstellen am 8. Februar gepatcht. Anwendern wird dringend geraten, diese Patches sofort einzuspielen. Onapsis stellt auf Github zudem ein kostenloses Open-Source-Vulnerability-Scanner-Tool zur Verfügung.

Loading

Mehr zum Thema

image

Zurich Film Festival – Ticketverkauf dank flexibler Standortvernetzung.

Heute ist das Zurich Film Festival (ZFF) das grösste Herbstfilm-Festival im deutschsprachigen Raum und ein Sprungbrett zu den Oscars. 2005 fand es zum ersten Mal statt.

image

Das OIZ der Stadt Zürich hat seine SAP-Dienstleister bestimmt

Für 22 Millionen Franken hat sich der Stadtzürcher IT-Dienstleister SAP-Unterstützung in 4 Bereichen gesichert.

publiziert am 23.9.2022
image

TAP Portugal bestätigt den Klau von Passagierdaten

Nach dem Cyberangriff sind 600 Gigabyte an Daten der Airline veröffentlicht worden – auch von Schweizer Passagieren. Kunden werden vor möglichen Phishing-Angriffen gewarnt.

publiziert am 23.9.2022
image

Nach Angriff warnt Revolut vor Phishing-Kampagne

Bei einem Cyberangriff auf das Fintech-Unternehmen sollen sich Hacker Zugang zu zehntausenden Kundendaten verschafft haben. Revolut bestätigt den Abfluss von Daten.

publiziert am 22.9.2022