In der J2EE-Engine von SAP NetWeaver hat der russischer Sicherheitsforscher Alexander Polyakov von ERPScan eine gravierende Schwachstelle entdeckt, durch die Angreifer aus der Ferne neue Adminkonten anlegen können. Während der Sicherheitskonferenz Black Hat in Las Vegas demonstrierte Polyakov die Lücke, indem er per Google nach einer bestimmten Zeichenkette suchte, wie sie typisch ist für das Management-Portal von SAP-Systemen.

Die gefundene URL übergab er anschließend an ein von ihm geschriebenes Perl-Skript, das den eigentlichen Angriff in zwei Stufen ausführte. Ohne weitere Authentifizierung legte das Skript im ersten Schritt einen neuen Nutzer an, der dann im zweiten Schritt zum Administrator erhoben wurde. Der Angriff funktioniert laut Polyakov auch, wenn die Zwei-Faktor-Authentifizierung (Passwort plus geheimer Schlüssel) aktiviert ist.

Der Forscher will das Skript drei Monate nach Veröffentlichung eines Updates freigeben, um Kunden genug Zeit zum Patchen zu lassen. Wie ein SAP-Sprecher gegenüber diversen US-Medien bestätigte, sollte dies in den nächsten Tagen der Fall sein. Das Update würde nicht ausser der Reihe, sondern im Rahmen der normalen Patch-Zyklen veröffentlicht.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE