Im April veröffentlichten Forscher von ERPScan einen Bericht darüber, wie es ihnen gelang, SAP POS-Systeme fernzusteuern. SAP musste ein Update einrichten.
Die Forscher schreiben auf ihrem Blog: „Es ist kein Geheimnis, dass POS-Systeme prinzipiell verletzbar sind und deshalb zahlreiche Sicherheitslücken auftraten. Anders als bei der Mehrheit von Malware, bei der es um den Diebstahl von Kundendaten geht, beruht der neueste Angriff auf den unzureichenden Kontrollfunktionen des POS-Systems. Weil gleich mehrere Autorisierungsprüfungen auf der Server-Seite eines SAP-POS nicht funktionierten, konnte ein Hacker völlig legale Software-Befehle für seine Zwecke einsetzen. Dies bedeutete, dass die bösartigen Handlungen nur schwierig aufzudecken waren.“ (https://erpscan.com/research/hacking-sap-pos
So gelang es in diesem Fall unter anderem, die Kassensysteme so zu manipulieren, dass man ein Apple MacBook für einen Dollar erwerben konnte. Das sei jedoch nur ein Part von möglichen Datenmanipulationen.
„Stehlen von Kreditkarten-Nummern, Preise und besondere Rabatte festlegen sowie entferntes Starten und Anhalten eines POS-Terminals – alle diese Optionen stehen einem Hacker offen“,
Alexander Polyakov, CTO bei ERPScan.
Was ist ein SAP-POS?
Ein SAP-POS (auf der Basis von SAP POS Xpress Server) ist als Kassensystem ein Teil des Lösungsportfolios von SAP for Retail, das von 80 Prozent der Retailer in Forbes Global 2000 benützt wird. Der SAP-POS gehört zu einer von SAP entwickelten Client-Server-Infrastruktur und dient als Point-of-Sale oder Kassensystem. Seine Daten stehen verschiedenen Abrechnungs-, Lager- oder Planungsprogrammen zur Verfügung.
Auf der Client-Seite stehen dafür verschiedene Applikationen zur Verfügung, deren Daten dann zu den Auswertungsprogrammen weiter transportiert werden. Die Anwendungen auf der Server-Seite nehmen diese Daten auf, leiten sie an bestimmte Programme weiter und verarbeiten sie entsprechend der festgelegten Geschäftsziele einschließlich Big-Data- und Analytics-Aufgabenstellungen. Zu diesen Programmen gehört auch der POS Xpress Server, der auf der Ladenseite fungiert.
Die Forscher von ERPScan haben zusammen mit Hackern ein Szenario für einen Angriff auf das POS-System entwickelt und auch praktisch durchgespielt. Entweder kann der SAP POS Express Server über ein Netzwerk angegriffen werden oder man muss eine Verbindung über Raspberry Pi herstellen, ein preiswertes elektronisches Tool. Ist der Hacker, wie von ERPScan organisiert, im System drin, kann er Backend und Frontend manipulieren – zum Beispiel durch Hochladen einer Malware – oder bestimmte Parameter bei den Kassen setzen, alles ohne Authentifizierungsprozesse.
SAP gestand den Fehler ein und empfahl den Kunden, dringend einen Patch für den Retail Xpress Server einzuspielen. Die Patches haben die Bezeichnungen SAP Security Note 2476601 und SAP Security Note 2520064.
Zusätzliche Informationen zu dem SAP Threat Intelligence Report vom Juli 2017 finden sich hier: https://erpscan.com/press-center/blog/sap-cyber-threat-intelligence-report-july-2017/.
