Schwachstellen, die SAP AI-Services betreffen

Am 17. Juli 2024 veröffentlichte Hillai Ben-Sasson, ein Sicherheitsforscher des Cloud-Unternehmens WIZ, die Ergebnisse einer Untersuchung, die sich auf die SAP-Cloud-KI-Dienste konzentrierte und Teil einer umfassenderen Untersuchung von Mainstream-KI-Cloud-Anbietern war, zu denen auch Hugging Face und Replicate gehören. Die Forscher identifizierten eine Reihe von Schwachstellen in der Cloud-Infrastruktur des SAP Core AI Service. Genauer gesagt, die Möglichkeit, die Benutzerkennung auf beliebige Werte (außer root) zu ändern und die Netzwerkregeln zu übernehmen, die an eine bestimmte Benutzerkennung gebunden sind (in diesem Fall die reservierte Benutzerkennung, die für den istio Sidecar Proxy konfiguriert ist, nämlich 1337).

Auf diese Weise konnte der Forscher von einem Kubernetes-Pod aus letztlich auf das interne Netzwerk dieses Cloud-Dienstes zugreifen, einschließlich vieler Anwendungen, die nicht ordnungsgemäß gesichert waren und auch eigene Schwachstellen aufwiesen. Wie im Blog erwähnt, hätte ein Angreifer, der sich als legitimer SAP-Kunde ausgibt, Zugang zu den Trainingsdaten anderer Kunden und sogar zu internen Cloud-Umgebungen von SAP-Kunden haben können, die den SAP Core AI-Service nutzen.

Diese Untersuchung zeigt, wie wichtig ganzheitliche Sicherheit in den heutigen hybriden SAP-Umgebungen ist, die sowohl Cloud-Dienste als auch SAP-Anwendungen umfassen. Die Komplexität und Kritikalität dieser Umgebungen erfordert nicht weniger als einen ganzheitlichen Sicherheitsansatz.

Die Vermeidung von Schwachstellen ist nur ein Teil der Aufgabe: Die Notwendigkeit einer kontinuierlichen Überwachung

Auch wenn die Bedrohung, die diese Untersuchung darstellt, vorübergehend ist, da alle Schwachstellen von SAP in der Cloud behoben wurden und die Kunden keine Änderungen in ihren Umgebungen vornehmen müssen, sind die Probleme sehr repräsentativ für den gesamten SAP-Technologiestapel, da sie die Notwendigkeit der Sicherheit in Cloud-Umgebungen über die Räumlichkeiten des Kunden hinaus unterstreichen.

Trotz der Tatsache, dass diese Schwachstellen von SAP gepatcht wurden und kein SAP-Sicherheitshinweis erforderlich war, ist es wichtig zu erwähnen, dass es in der Vergangenheit SAP-Sicherheitshinweise gab, die Cloud-Dienste auf ähnliche Weise betrafen.

SAP Security Note 3413475 (CVSS v3.1 : 9.1), fixing CVE(s) 2023-49583 and CVE-2023-50422.
SAP Security Note 3411067 (CVSS v3.1 : 9.1), fixing the following CVE(s): CVE-2023-49583, CVE-2023-50422, CVE-2023-50423 and CVE-2023-50424
SAP Security Notes 3132162, 3132744 and 3130578 (CVSS v3.1 : 10.0) fixing CVE-2021-44228

Dies sind nur einige Beispiele für gepatchte Sicherheitslücken, die speziell für SAP-Anwendungen und -Services in der Cloud gelten.

Heutzutage gibt es nur noch sehr wenige große SAP-Kunden, die ihre SAP-Umgebungen ausschließlich vor Ort betreiben. Die überwiegende Mehrheit von ihnen arbeitet in einer Art hybriden Umgebung, in der sie eine Mischung aus den folgenden Komponenten einsetzen:

Vor-Ort-Anwendungen: Dabei kann es sich um die traditionellen ABAP- oder Java-basierten Anwendungen wie SAP ERP, S/4HANA, SAP Solution Manager, SAP Portal oder SAP PI/PO handeln.
Anwendungen in der Cloud (IaaS): Immer mehr Unternehmen migrieren ihre traditionellen SAP-Anwendungen, einschließlich SAP S/4HANA, zu öffentlichen Cloud-Anbietern wie GCP, Azure oder AWS. Dazu gehören auch Initiativen wie RISE mit SAP.
Reine Cloud-Anwendungen (SaaS): Durch Übernahmen und die Implementierung neuer Technologien bietet SAP Anwendungen als SaaS-Anwendungen an. Beispiele für diese Anwendungen sind SAP Ariba, Concur oder SuccessFactors.
Plattform als Service in der Cloud (PaaS): Dies ist vor allem auf die wachsende Akzeptanz von SAP BTP und all seinen Cloud-Services, einschließlich KI-Services, für die Anwendungsentwicklung in der Cloud sowie die Integration mit On-Premise-Anwendungen zurückzuführen.

Das bedeutet, dass wir, wenn wir über die Sicherheit von SAP-Umgebungen sprechen, nicht mehr über die Sicherheit von On-Premise-Anwendungen sprechen, sondern über eine Kombination aus vielen Umgebungen oder Bausteinen, wobei alle diese Bausteine unterschiedlichen Arten von Sicherheitslücken und Risiken unterliegen können.

Betrachtet man die neuesten Bedrohungsdaten von Onapsis und Flashpoint, die die Bedrohungslandschaft für SAP-Anwendungen aufzeigen, einschließlich: Exploits, Schwachstellen und Ransomware, ist es wichtig zu betonen, dass Unternehmen, die SAP-Anwendungen oder -Services betreiben und nutzen, diese in ihre bestehenden Sicherheitsprozesse integrieren sollten, einschließlich aber nicht beschränkt auf:

Schwachstellenmanagement / Konfigurationsmanagement
Erkennung von Bedrohungen / Kontinuierliche Überwachung
Sicherer Entwicklungslebenszyklus / DevSecOps

Durch die Integration von SAP-Anwendungen und -Services in Ihre bestehenden IT-Sicherheitsprozesse können Unternehmen die Einführung neuer Schwachstellen im Unternehmen verhindern und bestehende Risiken ganzheitlich verwalten, von den On-Premise-Anwendungen bis hin zu den Cloud-Umgebungen und -Services.