Analyse der SAP-Sicherheitshinweise vom Juni 2016

Von:

16. Juni 2016

SAP-Systeme steuern die geschäftskritischen Prozesse eines Unternehmens und beherbergen dessen sensibelste Daten. Aus diesem Grund ist es von entscheidender Bedeutung, dass diese Systeme den angemessenen Schutz erhalten, den sie verdienen. Dieser Schutz beginnt damit, Sicherheitslücken durch die zeitnahe Installation der von SAP veröffentlichten Sicherheitspatches zu schließen.

SAP-Systeme unterscheiden sich von herkömmlichen Webanwendungen und sogar von Betriebssystemen aufgrund ihrer Komplexität, die durch kundenspezifische Anpassungen in den Implementierungen entsteht, um den geschäftlichen Anforderungen besser gerecht zu werden (auch als „Customizations“ bezeichnet). Diese Anpassungen können es mitunter erschweren, festzustellen, ob ein Patch ordnungsgemäß angewendet wurde, um sicherzustellen, dass neu bekannt gewordene Sicherheitslücken behoben sind.

Um einen planbaren und regelmäßigen Fluss von Informationen zur Behebung von Sicherheitslücken sowie von Sicherheitspatches zu gewährleisten, veröffentlicht SAP den Großteil seiner aktuellen Sicherheitshinweise am zweiten Dienstag jedes Monats. Angesichts dieser regelmäßigen Bekanntgabe neuer Sicherheitsprobleme, die die Sicherheit von SAP-Systemen innerhalb eines Unternehmens potenziell beeinträchtigen könnten, wird dringend empfohlen, mindestens einmal monatlich regelmäßige Überprüfungen durchzuführen.

Bei Onapsis liegt uns die Sicherheit der SAP-Systeme unserer Kunden sehr am Herzen. Um unsere Kunden bestmöglich zu unterstützen, führen wir eine detaillierte Analyse der monatlichen SAP-Sicherheitshinweise durch, sobald diese von SAP veröffentlicht werden. Ziel ist es, SAP-Kunden detaillierte Informationen zu jedem Release neuer Sicherheitspatches zu liefern, die Schwachstellen in ihren SAP-Systemen beheben, und sie bei der Durchführung von Tests dieser Systeme innerhalb ihres Unternehmens zu unterstützen.

Zwischen dem letzten veröffentlichten SAP Security Tuesday und dem heutigen Tag hat SAP 21 Sicherheitshinweise veröffentlicht (unter Berücksichtigung von 6 Support-Paketen und 15 Patch-Day-Hinweisen). Das Diagramm veranschaulicht die Verteilung der CVSS v3-Werte über die veröffentlichten Sicherheitshinweise. Berücksichtigt wurden nur diejenigen Hinweise, für die SAP einen CVSS v3-Wert festgelegt hat (16 der 21 SAP-Sicherheitshinweise). Wie aus dem Diagramm hervorgeht, reichen die Werte der SAP-Sicherheitshinweise von 1,7 bis 9,1, mit einem Median von 5,9.

Beiträge von Onapsis

Onapsis hat in Zusammenarbeit mit SAP zwei Sicherheitslücken behoben, dank der SicherheitsforscherSergio Abraham, Emiliano Fausto undJuan Perez-Etchegoyen:

  • 2293958– 5.7 (AV:A/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H). Fehlende Kommunikationssicherheit für den SAP-HANA-Daemon-Dienst. Seit SPS10 ist eine sichere interne Kommunikation möglich, jedoch wurden diese Sicherheitseinstellungen nicht auf den SAP-HANA-Daemon angewendet (bei dem es sich um einen internen Dienst handelt, der für administrative Aufgaben wie das Stoppen oder Starten des HANA-Systems verwendet wird).
  • 2306571– 7,5 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H). Denial-of-Service (DOS) in SAP Data Services. Ein Angreifer könnte ein manipuliertes Paket senden, um einen Denial-of-Service in SAP Data Services auszulösen und so legitime Benutzer daran zu hindern, ordnungsgemäß auf den Dienst zuzugreifen.
  • Aktualisierung des SAP-Sicherheitshinweises: 2252312– 1.7 (AV:L/AC:L/Au:S/C:N/I:P/A:N). Unzureichende Protokollierung von RFC in SAL. Die RFC-Callbacks wurden im Sicherheitsauditprotokoll mit einem falschen Schweregrad protokolliert.

Aktuelles von SAP

  • 2306709– 9.1 (AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H). Sicherheitslücke durch Code-Injektion in den Dokumentations- und Übersetzungstools. Die Komponente BC-DOC-TER Terminologie/Glossar wies eine Schwachstelle auf, die es einem Angreifer ermöglichte, beliebigen Code einzuschleusen, der von der Anwendung ausgeführt wurde. Dies konnte zur Ausführung beliebiger Befehle im Host-Betriebssystem führen und somit zum Löschen, Offenlegen oder Ändern von Informationen.

Von SAP bereitgestellte SAP-Sicherheitshinweise mit höherer CVSS-Bewertung

  • 2222731– 8.8 (AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:H). Unbefugte Änderung gespeicherter Inhalte im Anwendungsfall DesignStudio SFIN. Durch Missbrauch der in Simple Finance verwendeten integrierten Funktionen der Anwendung Design Studio kann ein Angreifer die angezeigten Anwendungsinhalte dauerhaft verändern. Diese Cross-Site-Scripting-Sicherheitslücke kann potenziell dazu genutzt werden, Authentifizierungsdaten von legitimen Benutzern der Anwendung zu erlangen.
  • 2308217– 7,5 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H). Sicherheitslücke durch fehlende XML-Validierung in Web-Survey. Web-Survey wies einen Sicherheitsfehler im XML-Parser auf, der ausgenutzt werden konnte, um ein eigens erstelltes XML-Dokument einzufügen und so Daten abzurufen oder einen Denial-of-Service-Angriff auf den lokalen oder einen Remote-Server auszulösen.
  • 2256178– 6.1 (AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N). Cross-Site-Scripting-Sicherheitslücke (XSS) in ecattping. Die Komponente „Extended Computer Aided Test Tool“ codiert Benutzereingaben nicht ordnungsgemäß, was zu einem möglichen Cross-Site-Scripting-Angriff führen kann.

Weitere Angriffsvektoren

Onapsis aktualisiert sein Flaggschiffprodukt, die Onapsis Security Platform OSP), jeden Monat, damit Sie überprüfen können, ob Ihre Systeme auf dem neuesten Stand der SAP-Sicherheitshinweise sind, und um sicherzustellen, dass diese Systeme mit dem erforderlichen Sicherheitsniveau konfiguriert sind, um Ihre Audit- und Compliance-Anforderungen zu erfüllen.

Seien Sie gespannt auf die Analyse der „Security Notes“ im nächsten Monat von den Onapsis Research Labs.

HINWEIS:

SAP veröffentlicht monatlich einen Beitrag im SCN-Bereich„The Official SAP Product Security Response Space“, der Informationen zu den SAP-Sicherheitshinweisen enthält. Hier ist der Link zum„SAP Security Patch Day – Juni 2016“

Stichwörter, ,
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen