Seit 27. August steht SAP Netweaver auf der Einkaufsliste von Zerodium und setzt Kopfgeld auf SAP Netweaver Exploits aus. Das Unternehmen bezeichnet sich selbst als „Die weltweit führende Exploit-Akquisitionsplattform für Premium-Zero-Days und erweiterte Cybersicherheitsfunktionen“ und wirbt mit richtig gutem Kopfgeld.
Kopfgelder bis zu $ 2,5 Millionen
The world’s leading exploit acquisition platform for premium zero-days and advanced cybersecurity capabilities.
We pay BIG bounties, not bug bounties
https://zerodium.com/
Aktuell kann man SAP Netweaver noch nicht auf der Preisliste von Zerodium finden. Jedoch zeigt ein Blick darauf, dass es hier um wirklich große Beträge gehen kann. So führt die Spitze für mobile Geräte, im Moment ein Android Full Chain with Persistence (FCP) Zero Click an, und das mit einem Betrag von $ 2,5 Millionen. Gefolgt von einem iOS FCP Zero Click für $ 2 Millionen.
| Was ist ein Full Chain with Persistence Zero Click? Eine Exploitchain, welche ohne zutun des Users getriggert wird und eine persistente Rootshell o.ä. hinterlässt. |
Auf der Desktop/ Server Liste steht an erster Stelle eine Windows Remote Code Execution Zero Click Exploit für $ 1 Million, direkt gefolgt von Chrome, Apache und MS IIS Exploits für $ 0,5 Millionen.
Eine gefährliche Kombination
Wenn man sich nun vor Augen hält, dass 98% der 100 wertvollsten Unternehmen SAP Systeme im Einsatz haben, dann kann man sich gut vorstellen, dass so ein Exploit durchaus ein lukratives Geschäft sein kann.
Für Unternehmen kann das unter Umständen fatale Folgen haben. Falls ein Angreifer ein solches Exploit verwendet und das angegriffene Unternehmen ein fehlendes Grundverständnis von SAP Sicherheit hat, dem wird vermutlich Tür und Tor offen stehen.
Das ausnutzen eines FCP Zero Click wird man zwar nicht verhindern können, doch das Ausmaß des Angriffs kann man mit einer Grundhygiene zumindest einschränken.
Wer sind Zerodium Kunden?
Zerodium Kunden sind laut FAQ, Regierungsorganisationen die hauptsächlich aus Europa und Nordamerika stammen. Doch warum benötigen Regierungseinrichtungen solche Exploits für SAP? Wollen diese feindliche Militärsysteme angreifen und deren Logistik zu Fall bringen? Oder wollen sie einfach nur Unternehmen ausspionieren? Egal welchen Grund sie haben, sei es gut oder böse, folglich ist es eine Bedrohung für SAP Systeme.
Angriffe auf SAP System werden vermutlich zunehmen
Hacker haben jetzt jedenfalls einen guten Grund mehr, sich mit SAP Sicherheit zu beschäftigen. Am Ende rückt SAP auf der Angreifer Seite weiter in den Fokus, nur wie sieht es auf der Verteidigerseite aus?
Ich persönlich gehe davon aus, dass Angriffe auf SAP Systeme in der Zukunft deutlich zunehmen werden und vermutlich auch heftiger werden. Umso mehr wird es Zeit, dass SAP Sicherheit auch auf der anderen Seite sichtbarer wird.
Bleibt dran,
Andreas
