Analyse der SAP-Sicherheitshinweise vom April 2016

Von:

21. April 2016

SAP ist ein komplexes und sich ständig wandelndes System, sei es aufgrund von Anpassungen an Ihrer SAP-Implementierung, um diese besser an Ihre geschäftlichen Anforderungen anzupassen, oder durch die Installation von Sicherheitshinweisen (Patches), um neu bekannt gewordene Sicherheitslücken zu schließen.

Um einen planbaren und regelmäßigen Fluss an Informationen zur Behebung von Sicherheitslücken sowie an Sicherheitspatches zu gewährleisten, veröffentlicht SAP den Großteil seiner aktuellen Sicherheitshinweise am zweiten Dienstag jedes Monats. Angesichts dieser regelmäßigen Bekanntgabe neuer Sicherheitsprobleme, die die Sicherheit von SAP-Systemen innerhalb eines Unternehmens potenziell beeinträchtigen könnten, wird dringend empfohlen, mindestens einmal monatlich regelmäßige Überprüfungen durchzuführen.

Bei Onapsis liegt uns die Sicherheit der SAP-Systeme unserer Kunden sowie die allgemeine SAP-Sicherheit sehr am Herzen. Um unsere Kunden zu unterstützen, führen wir daher eine detaillierte Analyse der monatlichen SAP-Sicherheitshinweise durch, sobald diese veröffentlicht werden. Ziel ist es, SAP-Kunden detaillierte Informationen zu den neu veröffentlichten Hinweisen und Schwachstellen zu liefern, die ihre SAP-Systeme betreffen, und sie bei der Durchführung von Tests dieser Systeme in ihrem Unternehmen zu unterstützen.

Zwischen dem letzten veröffentlichten SAP Security Tuesday und heute wurden von der SAP AG 26 SAP-Sicherheitshinweise veröffentlicht (unter Berücksichtigung von 7 Support-Paketen und 19 Patch-Day-Hinweisen). Die Onapsis Research Labs zur Meldung dieser in der SAP-Software gefundenen Schwachstellen Onapsis Research Labs (Danksagung an die Sicherheitsforscher).
Das Boxplot-Diagramm veranschaulicht die Verteilung der CVSS-Werte über die veröffentlichten Sicherheitshinweise. Bei der Erstellung wurden nur diejenigen berücksichtigt, für die SAP einen CVSS-Wert festgelegt hat (17 der 26 SAP-Sicherheitshinweise). Wie aus dem Diagramm hervorgeht, reichen die Werte der SAP-Sicherheitshinweise von 4,3 bis 7,5, mit einem Median von 7,1.

SAP hat Sicherheitshinweise zu den von Onapsis gemeldeten Sicherheitslücken veröffentlicht:

  • 2262710 –Denial-of-Service-Sicherheitslücke (DOS) im HANA DP Agent 7.5 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H). Es ist möglich, einen nicht authentifizierten Denial-of-Service-Angriff auf den HANA Data Provisioning Agent durchzuführen, wodurch dieser bis zum nächsten Neustart des Prozesses nicht mehr verfügbar ist.
  • 2280054 – Offenlegung von Informationen im Data Provisioning Agent. 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N). Der SAP HANA DP Agent könnte es nicht authentifizierten Angreifern aus der Ferne ermöglichen, an sensible Informationen der platform zu gelangen.
  • 2262742 – Fehlende Authentifizierungsprüfung im HANA DP Agent. 7.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L). Bestimmte Verwaltungsfunktionen im SAP HANA DP Agent erfordern keine Authentifizierung.
  • 2274560 – Sicherheitslücke durch beliebige Log-Datei-Injektion in SAP Gateway 7.3 (AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N). Das SAP Gateway ist anfällig für Log-Injektionsangriffe, wenn speziell gestaltete RFC-Pakete verwendet werden.

Weitere Korrekturen mit hoher Priorität:

  • 2254389 – XXE-Sicherheitslücke in SAP UDDI (Universal Description, Discovery and Integration) 7.1 (AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:H). In SAP UDDI (Universal Description, Discovery and Integration) ist das Parsen nicht vertrauenswürdiger XML-Eingaben möglich. Der Hinweis behebt eine Schwachstelle vom Typ „XML eXternal Entity“, über die ein böswilliger Benutzer speziell gestaltete XML-Inhalte senden kann, um einen Denial-of-Service-Angriff durchzuführen oder Daten aus dem betroffenen SAP-System abzurufen.
  • 2252191 – Deserialisierung nicht vertrauenswürdiger Daten in SAP HANA XS Advanced Java Runtime 7.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L). Die betroffene Komponente deserialisiert nicht vertrauenswürdige Daten, ohne die Eingaben zuvor zu bereinigen. Dies könnte zu Remote-DoS-Angriffen oder zur Ausführung von Befehlen aus der Ferne führen.
  • 2294689 – SQL-Injection-Sicherheitslücke in SAP ASE 7.2 (AV:N/AC:L/PR:H/UI:N/S:H/C:H/I:L/A:H). Dieser Hinweis behebt eine SQL-Injection-Sicherheitslücke bei authentifizierten Benutzern in SAP ASE (Adaptive Server Enterprise). Dies könnte es authentifizierten Angreifern aus der Ferne ermöglichen, beliebige Abfragen in der Datenbank auszuführen.
  • 2265514 – Deserialisierung nicht vertrauenswürdiger Daten in Groovy Engine 7.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L). Platform SAP Mobile Platform eine anfällige Version von Apache Groovy, die von CVE-2015-3253 betroffen ist. Dieser Hinweis behebt dieses Problem.
  • 2300197 – Cross-Site-Scripting-Sicherheitslücke (XSS) in den SAP Solution Manager Fiori-Apps „Meine Vorfälle“ und „Meine Geschäftsanforderungen“. Dieser Hinweis behebt verschiedene XSS-Angriffe in den Anwendungen „Meine Vorfälle“ und „Meine Geschäftsanforderungen“. Durch reflektierte Cross-Site-Scripting-Angriffe könnten Angreifer Informationen vorübergehend ändern oder Anmeldedaten von berechtigten Benutzern stehlen.
  • 2256185 – Mögliche Denial-of-Service-Anfälligkeit im SAP Internet Communication Manager 7.5 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H). Dieser Hinweis behebt eine potenzielle nicht authentifizierte DoS-Anfälligkeit des SAP Internet Communication Managers.
  • 2259547 – Mögliche Denial-of-Service-Anfälligkeit in jstart 7.5 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H) Dieser Hinweis behebt eine potenzielle nicht authentifizierte DoS-Anfälligkeit im Java Startup Framework.

In diesem Monat behobene Sicherheitslücken:

Onapsis aktualisiert sein Flaggschiffprodukt, die Onapsis Security Platform OSP), jeden Monat, damit Sie überprüfen können, ob Ihre Systeme auf dem neuesten Stand der SAP-Sicherheitshinweise sind, und um sicherzustellen, dass diese Systeme mit dem erforderlichen Sicherheitsniveau konfiguriert sind, um Ihre Audit- und Compliance-Anforderungen zu erfüllen.

Seien Sie gespannt auf die Analyse der „Security Notes“ im nächsten Monat von den Onapsis Research Labs.

Stichwörter, ,
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen