Analyse der SAP-Sicherheitshinweise vom Februar 2016

Von:

10. Februar 2016

SAP ist ein komplexes und sich ständig wandelndes System, sei es aufgrund von Anpassungen an Ihrer SAP-Implementierung, um diese besser an Ihre geschäftlichen Anforderungen anzupassen, oder durch die Installation von Sicherheitshinweisen (Patches), um neu bekannt gewordene Sicherheitslücken zu schließen.

Um einen planbaren und regelmäßigen Fluss an Informationen zur Behebung von Sicherheitslücken sowie an Sicherheitspatches zu gewährleisten, veröffentlicht SAP den Großteil seiner aktuellen Sicherheitshinweise am zweiten Dienstag jedes Monats. Angesichts dieser regelmäßigen Bekanntgabe neuer Sicherheitsprobleme, die die Sicherheit von SAP-Systemen innerhalb eines Unternehmens potenziell beeinträchtigen könnten, wird dringend empfohlen, mindestens einmal monatlich regelmäßige Überprüfungen durchzuführen.

Bei Onapsis liegt uns die Sicherheit der SAP-Systeme unserer Kunden sowie die allgemeine SAP-Sicherheit sehr am Herzen. Um unsere Kunden zu unterstützen, führen wir daher eine detaillierte Analyse der monatlichen SAP-Sicherheitshinweise durch, sobald diese veröffentlicht werden. Ziel ist es, SAP-Kunden detaillierte Informationen zu den neu veröffentlichten Hinweisen und Schwachstellen zu liefern, die ihre SAP-Systeme betreffen, und sie bei der Durchführung von Tests dieser Systeme in ihrem Unternehmen zu unterstützen.

Zwischen dem letzten veröffentlichten SAP Security Tuesday und heute hat die SAP AG 23 SAP-Sicherheitshinweise veröffentlicht (unter Berücksichtigung von 7 Support-Paketen und 16 Patch-Day-Hinweisen). Die Onapsis Research Labs hatten wie fast jeden Monat dazu beigetragen, in der SAP-Software gefundene Schwachstellen zu melden (Danksagung an die Sicherheitsforscher).
Die in diesem Monat veröffentlichten SAP-Sicherheitshinweise, die sich auf von den Onapsis Research Labs gemeldete Sicherheitshinweise bezogen, Onapsis Research Labs :

  • 2252312; 1.7 (AV:L/AC:L/Au:S/C:N/I:P/A:N). Unzureichende Protokollierung von RFC in SAL

Das Boxplot-Diagramm veranschaulicht die Verteilung der CVSS-v2-Werte in den veröffentlichten Sicherheitshinweisen. Für die Erstellung des Diagramms wurden nur diejenigen Sicherheitshinweise berücksichtigt, für die SAP einen CVSS-v2-Wert festgelegt hat (16 der 23 SAP-Sicherheitshinweise). Wie aus dem Diagramm hervorgeht, reichen die Werte der SAP-Sicherheitshinweise von 1,7 bis 7,5, wobei der Median bei 4,6 liegt.

Von SAP bereitgestellte SAP-Sicherheitshinweise mit höherer CVSS-Bewertung

  • 22342267.5 (AV:N/AC:L/Au:N/C:P/I:P/A:P). TREX / BWA: Mögliche Offenlegung technischer Informationen / Kompromittierung des Host-Betriebssystems. Dieser SAP-Sicherheitshinweis wurde in Hinweis 2273881 aktualisiert. In TREX / BWA gibt es eine Schnittstelle, die es einem nicht authentifizierten Benutzer ermöglicht, Betriebssystembefehle unter Verwendung von SIDadm-Berechtigungen auf dem Rechner auszuführen, auf dem die TREX / BWA-Anwendung läuft.
  • 21010796.8 (AV:N/AC:M/Au:N/C:P/I:P/A:P). Mögliche Änderung/Offenlegung von gespeicherten Daten in BC-ESI-UDDI. In der Komponente „UDDI Server“ lag ein Sicherheitsproblem vor, das es einem böswilligen Benutzer ermöglichen würde, maßgeschneiderte Eingaben an ein SAP-System zu senden und darin gespeicherte Daten abzurufen, zu ändern oder zu löschen.
  • 22568465.0 (AV:N/AC:L/Au:N/C:P/I:N/A:N). Mögliche Offenlegung von Informationen zu Benutzernamen. Die Universal Worklist (UWL) bietet Benutzern die „People Picker “-Funktion. Diese Funktion wies eine Sicherheitslücke auf, die es einem Angreifer ermöglichen könnte, Informationen über Benutzernamen abzurufen, die über die entsprechenden Berechtigungen verfügen.

Weitere Korrekturen mit hoher Priorität (kein CVSS-Wert von SAP angegeben)

  • 2262104. In der in CA Introscope verwendeten Apache Commons Collections-Bibliothek wurden Sicherheitslücken entdeckt.
  • 2273881. Update 1 zur Sicherheitsmitteilung 2234226.
  • 2268810. Sicherheitslücke in der Apache Commons Collections-Bibliothek, die von mehreren SAP-Lumira-Produkten verwendet wird.
  • 2246851. PI SEC: Sicherheitslücken in der Apache Commons Collections-Bibliothek, die im Enterprise Services Repository verwendet wird.
  • Diese vier SAP-Sicherheitshinweise beziehen sich auf die in der Apache Commons Collections-Bibliothek.
  • 2245130. Mögliche Umgehung der Laufzeitprüfungen für Unified Connectivity in BC-MID-RFC. Falls die erste Benutzeranmeldung fehlschlug, war es möglich, die Unified-Connectivity-Prüfung zu umgehen.
  • 2177403. Fehlende Berechtigungsprüfung in IS-A-VMS. Die Komponente „Fahrzeugmanagementsystem“ wies eine Sicherheitslücke auf, die es einem authentifizierten Benutzer ermöglichte, eine bestimmte Funktion auszuführen, auf die der Zugriff eigentlich beschränkt sein sollte.
  • 2180125. Fehlende Berechtigungsprüfung in LE-TRM. Die Komponente „Task & Resource Management“ hat den Zugriff auf einige ihrer Funktionen nicht ordnungsgemäß überprüft, sodass ein authentifizierter Benutzer bestimmte Funktionen nutzen konnte, auf die der Zugriff eigentlich beschränkt sein sollte.

Weitere Angriffsvektoren

Onapsis aktualisiert sein Flaggschiffprodukt, die Onapsis Security Platform OSP), jeden Monat, damit Sie überprüfen können, ob Ihre Systeme auf dem neuesten Stand der SAP-Sicherheitshinweise sind, und um sicherzustellen, dass diese Systeme mit dem erforderlichen Sicherheitsniveau konfiguriert sind, um Ihre Audit- und Compliance-Anforderungen zu erfüllen.

Seien Sie gespannt auf die Analyse der „Security Notes“ im nächsten Monat von den Onapsis Research Labs.

HINWEIS:

SAP hat seinen monatlichen Beitrag im SCN-Bereich „The Official SAP Product Security Response Space“ veröffentlicht, in dem Informationen zu den SAP-Sicherheitshinweisen bereitgestellt werden.

Hier ist der Link zum SAP-Blogbeitrag: „SAP Security Patch Day – Februar 2016“

Stichworte, , , ,
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen