Im Rahmen von SAP-Assessments stieß Nicolas Schickert, Leistungsverantwortlicher der usd SAP-Pentests, auf bisher unbekannte Schwachstellen in SAP-Produkten. Diese sogenannten Zero-Day-Schwachstellen können verheerende Auswirkungen haben. Denn sollten diese Sicherheitslücken bekannt werden, könnten sie von Angreifern in großem Stil ausgenutzt werden, noch bevor vom Hersteller ein passendes Sicherheitspatch bereitgestellt werden kann. Unsere Pentest Professionals sind sich dieser Verantwortung bewusst und unterstützen die Hersteller, zeitnah Lösungen zu entwickeln und kritische Sicherheitslücken zu schließen. Deshalb wurden die identifizierten Schwachstellen unverzüglich im Rahmen des „usd Responsible Disclosure“-Prozesses an SAP gemeldet und anschließend in das “Acknowledgements to Researcher”-Dokument auf der SAP-Webseite aufgenommen.
Nicolas Schickert betont die Relevanz eines spezialisierten Vorgehens: "Die Entdeckung dieser Schwachstellen in vermeintlich sicheren und standardkonfigurierten Diensten verdeutlicht, wie wichtig es ist, solche Produkte nicht nur mittels eines Security Scans, sondern auch durch Pentests gründlich zu überprüfen. Während ein Security Scan lediglich bekannte Schwachstellen aufdecken kann, ermöglicht ein Pentest eine tiefergehende, individuelle und gezielte Suche nach Schwachstellen - auch über bekannte Einfallstore hinaus.”
Besonders bei hochkomplexen SAP-Landschaften sind fundierte Expertise und detaillierte Kenntnisse der Produkte nötig, um eine umfassende Analyse des aktuellen Sicherheitsstandards durchzuführen. Neue Sicherheitslücken entstehen in diesem Kontext oft aufgrund von Konfigurationsfehlern oder individuellen Gegebenheiten.
“Dank der offenen Kommunikation und des effizienten Austauschs zwischen unseren Kolleg*innen und den Entwicklerteams von SAP konnten die Schwachstellen zeitnah behoben werden. So konnten wir einen wichtigen Beitrag zur Sicherheit von SAP-Produkten leisten", fügt Schickert hinzu.
Detaillierte Informationen zu den Advisories finden Sie hier.