SAP RECON-Sicherheitslücke: Fortgesetzte Ausnutzung und Erkenntnisse von Onapsis

24. Juni 2025

Die SAP RECON-Sicherheitslücke (CVE-2020-6287) verstehen

Vor fast fünf Jahren wurde eine der kritischsten Sicherheitslücken in der Geschichte der SAP-Sicherheit, bekannt als SAP RECON (CVE-2020-6287), nach der Veröffentlichung eines Patches am 14. Juli 2020 öffentlich bekannt gegeben. Nur 72 Stunden nach Veröffentlichung des Patches tauchten bereits zuverlässige Exploits für die Schwachstelle im Internet auf. In diesem Beitrag konzentrieren wir uns auf die anhaltende Ausnutzung der SAP RECON-Sicherheitslücke und gehen insbesondere darauf ein, wie sie in den letzten Jahren gezielt ausgenutzt wurde.

Warum die SAP RECON-Sicherheitslücke so kritisch war

Trotz einer CVSS-Bewertung von 10 von 10 Punkten lag die wahre Schwere von RECON nicht nur in der Leichtigkeit ihrer Ausnutzung, sondern auch in ihrer weitreichenden Exposition gegenüber dem Internet. Die Schwachstelle wurde in „SAP Java NetWeaver“ gefunden, einer gemeinsamen Schicht, die in vielen SAP-Lösungen (z. B. Solution Manager, PI/PO, Enterprise Portal, CRM) verwendet wird. Da diese Produkte auf Java basieren, wird häufig über HTTP auf sie zugegriffen, wodurch sie anfällig für Angriffe aus dem Internet sind. Ein Paradebeispiel hierfür ist das Enterprise Portal, eine der am stärksten mit dem Internet verbundenen Lösungen von SAP.

Auf hoher Ebene ermöglicht die Ausnutzung von RECON einem Angreifer, anonym einen Administratorbenutzer in einem anfälligen System anzulegen und so die vollständige Kontrolle über das Zielsystem zu erlangen. Die einzige Voraussetzung ist der Zugriff auf den HTTP/S-Port des Zielsystems. Das Onapsis RECON Scanner Tool bietet eine einfache, aber effektive Möglichkeit, um festzustellen, ob ein System für RECON anfällig ist, ohne es aktiv auszunutzen. Obwohl man davon ausgehen könnte, dass diese Schwachstelle kein Problem mehr darstellt, ist das Ausmaß der aktiven Ausnutzung doch überraschend.

Ausnutzung von RECON: Damals und heute

Es ist bemerkenswert, dass Angreifer diese und sogar noch ältere Schwachstellen immer noch ausnutzen, um mit dem Internet verbundene Systeme zu kompromittieren. Vor wenigen Monaten hat Yvan Genuer, Senior Security Researcher, auf der Black Hat Europe 2024 gezeigt, wie Angreifer aus verschiedenen Kategorien, darunter hochentwickelte Gruppen und Scriptkiddies, diese Schwachstellen weiterhin ausnutzen. Weitere Informationen zu diesem Thema finden Sie in unserem aktuellen Bericht mit dem Titel „“, der detaillierte Einblicke und Analysen enthält. Der folgende Chat bietet jedoch einen schnellen Überblick darüber, wie Angreifer trotz des Zeitablaufs weiterhin dieselben Schwachstellen ausnutzen – wenn auch deutlich weniger intensiv.

Es ist wichtig zu beachten, dass Angreifer nach wie vor RECON zusammen mit anderen älteren Schwachstellen ausnutzen, um mit dem Internet verbundene Systeme zu kompromittieren. Auf der Black Hat Europe 2024 zeigte Yvan Genuer, Senior Security Researcher, wie sowohl hochentwickelte Bedrohungsgruppen als auch weniger erfahrene Angreifer weiterhin auf diese Schwachstellen abzielen. Eine eingehendere Analyse finden Sie in unserem aktuellen Bericht CH4TTER, der detaillierte Einblicke bietet. Die folgende Grafik gibt jedoch einen schnellen Überblick und zeigt, dass die Ausnutzung zwar im Laufe der Jahre zurückgegangen ist, aber immer noch andauert.

Erkenntnisse und der Weg nach vorn für die SAP-Sicherheit

Obwohl die SAP RECON-Sicherheitslücke vor fast fünf Jahren gepatcht wurde, zeigt ihre fortgesetzte Ausnutzung das anhaltende Risiko, das von veralteten und ungeschützten Systemen ausgeht. Trotz Fortschritten im Bereich der Sicherheit nutzen Angreifer – von hochqualifizierten Gruppen bis hin zu weniger versierten Akteuren – diese Schwachstellen weiterhin aus und zeigen damit, dass ältere Fehler nach wie vor wertvolle Angriffspunkte darstellen. Die anhaltende Ausnutzung von RECON unterstreicht die entscheidende Bedeutung regelmäßiger Patches, proaktiver Sicherheitsmaßnahmen und ständiger Wachsamkeit. In Zukunft sollten die aus Vorfällen wie diesem gewonnenen Erkenntnisse zu Verbesserungen der Sicherheitslage kritischer Infrastruktursysteme führen und einen besseren Schutz vor sich weiterentwickelnden Bedrohungen gewährleisten.

FAQ

Was ist die SAP RECON-Sicherheitslücke?

Die SAP RECON-Sicherheitslücke (CVE-2020-6287) ist eine kritische Schwachstelle in den Java NetWeaver-Systemen von SAP, die es nicht authentifizierten Angreifern ermöglicht, aus der Ferne Administratorbenutzer anzulegen. Diese Sicherheitslücke kann zu einer vollständigen Kompromittierung des Systems führen, wenn sie nicht gepatcht wird.

Warum stellt die SAP RECON-Sicherheitslücke auch heute noch ein Risiko dar?

Obwohl SAP im Jahr 2020 einen Patch veröffentlicht hat, verfügen viele Unternehmen über veraltete, mit dem Internet verbundene SAP-Systeme, die weiterhin gefährdet sind. Wie die Untersuchungen von Onapsis zeigen, nutzen Angreifer diese Sicherheitslücke auch Jahre später noch aktiv aus, was die Notwendigkeit eines kontinuierlichen Patch-Managements und einer kontinuierlichen Überwachung unterstreicht.

Wie können Unternehmen überprüfen, ob ihre SAP-Systeme für RECON anfällig sind?

Unternehmen sollten Schwachstellen-Scanning-Tools einsetzen, um ihre Gefährdung zu bewerten. Mit Lösungen wie der Onapsis-Plattform können Unternehmen automatisch und ohne manuelle Tests Systeme erkennen, die von der SAP RECON-Sicherheitslücke betroffen sind, und so schneller Abhilfemaßnahmen ergreifen.

Welche SAP-Produkte sind am stärksten von der SAP RECON-Sicherheitslücke betroffen?

Am stärksten betroffen sind Systeme, die auf der SAP Java NetWeaver-Schicht basieren, wie SAP Solution Manager, PI/PO, Enterprise Portal und CRM. Diese Produkte verfügen häufig über HTTP/S-Schnittstellen, die dem Internet ausgesetzt sind, wodurch sie zu bevorzugten Zielen für Angreifer werden.

Wie schnell wurde die SAP RECON-Sicherheitslücke nach ihrer Offenlegung ausgenutzt?

Exploits für die SAP RECON-Sicherheitslücke tauchten innerhalb von 72 Stunden nach Veröffentlichung des Patches im Juli 2020 im Internet auf. Diese schnelle Ausnutzung zeigt, wie wichtig es ist, SAP-Sicherheitspatches sofort zu installieren.

Welche Schritte sollten Unternehmen unternehmen, um die Risiken der SAP RECON-Sicherheitslücke zu mindern?

Unternehmen müssen SAP-Systeme sofort patchen, die Internetverbindung nach Möglichkeit einschränken, kontinuierlich auf verdächtige Aktivitäten überwachen und regelmäßig SAP-spezifische Sicherheitsbewertungen mit vertrauenswürdigen Lösungen wie denen von Onapsis durchführen.

Wie hilft Onapsis bei der Abwehr von Schwachstellen wie SAP RECON?

Onapsis bietet automatisiertes Schwachstellenmanagement, Echtzeitüberwachung und Bedrohungsinformationen, die speziell auf SAP-Umgebungen zugeschnitten sind. Die Tools des Unternehmens, darunter die Onapsis-Plattform, helfen Unternehmen dabei, sich proaktiv gegen Schwachstellen wie SAP RECON zu schützen und die Ausfallsicherheit ihrer SAP-Systeme zu gewährleisten.

Welche allgemeinen Lehren lassen sich aus der SAP RECON-Sicherheitslücke für die Cybersicherheit von SAP ziehen?

Die anhaltende Ausnutzung von SAP RECON unterstreicht, wie wichtig regelmäßige Patches, proaktive Bedrohungsüberwachung, die Minimierung der Systemrisiken und spezielle SAP-Sicherheitsstrategien sind. Unternehmen müssen von einer reaktiven zu einer proaktiven Sicherheitsstrategie übergehen, um kritische Geschäftssysteme zu schützen.

Source: Onapsis-Blog

---

Bild/Quelle: https://depositphotos.com/de/home.html