Tenable warnt vor Patch-Müdigkeit bei einer schweren SAP-Sicherheitslücke

Der US-amerikanische Cybersecurity-Anbieter Tenable warnt vor einer alten Schwachstelle im SAP Solution Manager. Die als CVE-2020-6207 bekannte Sicherheitslücke wurde bereits vor über einem Jahr identifiziert. Seit März 2020 gibt es auch einen Patch, der die Lücke schliesst.

Die Schwachstelle basiere auf einem Defizit im Bereich Authentifizierung, sagt Satnam Narang, Staff Research Engineer bei Tenable. "Dies bedeutet, dass sich ein Angreifer bei den anfälligen Systemen authentifizieren kann, indem er lediglich versucht, eine Verbindung herzustellen."

Proof-of-Concept eines Exploits auf Github

Warum warnt Tenable jetzt davor? Wie das Unternehmen schreibt, wurde am 14. Januar ein Machbarkeitsnachweis auf Github veröffentlicht. Dieser demonstriert, wie ein Angreifer die Schwachstelle ausnutzen könnte.

Zudem suchten Cyberkriminelle zurzeit aktiv nach Systemen, die noch nicht gepatcht worden seien. "Es ist wichtig, dass Unternehmen, die den SAP Solution Manager in ihren Umgebungen verwenden, Patches so schnell wie möglich einspielen", sagt Narang.

Das auch dringende Sicherheits-Updates gerne vergessen werden, zeigt Tenables jährlicher Threat-Landscape-Bericht. In der aktuellen Ausgabe finden sich in den Top 5 der gravierendsten Schwachstellen gleich 3 Einträge, die schon vor über einem Jahr per Patch geschlossen wurden. Mehr dazu können Sie hier nachlesen.