Analyse der SAP-Sicherheitshinweise vom Juni 2016

SAP-Systeme führen die geschäftskritischen Prozesse eines Unternehmens aus und speichern die sensibelsten Daten eines Unternehmens. Aus diesem Grund ist es von entscheidender Bedeutung, dass diese Systeme die angemessene Sicherheit erhalten, die sie verdienen. Diese Sicherheit beginnt damit, die Lücke von Softwareschwachstellen zu schließen, indem von SAP veröffentlichte Sicherheitspatches rechtzeitig angewendet werden.

SAP-Systeme unterscheiden sich von herkömmlichen Webanwendungen und sogar Betriebssystemen aufgrund ihrer Komplexität, die durch kundenspezifische Änderungen verursacht wird, die in Kundenimplementierungen eingeführt werden, um den Geschäftsanforderungen besser gerecht zu werden (auch bekannt als Anpassungen). Diese Anpassungen können es manchmal schwierig machen, zu erkennen, ob ein Patch ordnungsgemäß angewendet wurde, um sicherzustellen, dass neu offengelegte Schwachstellen gemindert werden.

Um einen vorhersehbaren und geplanten Fluss von Informationen zur Schwachstellenminderung und Sicherheitspatches bereitzustellen, veröffentlicht SAP jeden zweiten Dienstag im Monat den Großteil der neuesten Sicherheitshinweise. Aufgrund dieser regelmäßigen Offenlegung neuer Sicherheitsprobleme, die möglicherweise die Sicherheit von SAP-Systemen innerhalb einer Organisation schwächen könnten, wird dringend empfohlen, mindestens einmal im Monat regelmäßige Bewertungen durchzuführen.

Bei Onapsis legen wir großen Wert auf die Sicherheit der SAP-Systeme unserer Kunden. Um unsere Kunden besser unterstützen zu können, führen wir eine detaillierte Analyse der monatlichen SAP Security Notes durch, sobald diese von SAP veröffentlicht werden. Ziel ist es, SAP-Kunden detaillierte Informationen über jede Veröffentlichung neuer Sicherheitspatches zur Verfügung zu stellen, die Schwachstellen in ihren SAP-Systemen beheben und als Leitfaden für das Testen dieser Systeme innerhalb der Organisation dienen.

Zwischen dem letzten veröffentlichten SAP Security Tuesday und Today wurden 21 SAP-Sicherheitshinweise von SAP veröffentlicht (unter Berücksichtigung von 6 Support Packages und 15 Patch Day Notes). Das Plotdiagramm veranschaulicht die Verteilung der CVSS v3-Scores über die veröffentlichten Sicherheitshinweise. Berücksichtigt wurden nur die Hinweise, für die SAP ein CVSS v3 festgelegt hat (16 der 21 SAP-Sicherheitshinweise). Wie in der Grafik dargestellt, reichen die Werte der SAP-Sicherheitshinweise von 1.7 bis 9.1 mit einem Median von 5.9.

Onapsis-Beiträge

Dank Sicherheitsforschern hat Onapsis mit SAP bei der Behebung von zwei Schwachstellen zusammengearbeitet Sergio Abraham, Emiliano Fausto und Juan Perez-Etchegoyen:

  • 2293958 – 5.7 (AV:A/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H). Fehlende Kommunikationssicherheit für den SAP HANA-Daemon-Dienst. Seit SPS10 ist eine sichere interne Kommunikation möglich, diese Sicherheitseinstellungen wurden jedoch nicht auf den SAP HANA-Daemon angewendet (ein interner Dienst, der für Verwaltungsaufgaben wie das Stoppen oder Starten des HANA-Systems verwendet wird).
  • 2306571 – 7.5 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H). Denial of Service (DOS) in SAP Data Services. Ein Angreifer könnte ein manipuliertes Paket senden, um einen Denial-of-Service in SAP Data Services auszulösen und so legitime Benutzer daran zu hindern, ordnungsgemäß auf den Dienst zuzugreifen.
  • Update zum SAP-Sicherheitshinweis: 2252312 – 1.7 (AV:L/AC:L/Au:S/C:N/I:P/A:N). Unzureichende Protokollierung von RFC in SAL. Die RFC-Rückrufe wurden im Sicherheitsüberwachungsprotokoll mit einem falschen Schweregrad protokolliert.

Heiße Neuigkeiten von SAP

  • 2306709 – 9.1 (AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H). Code-Injection-Schwachstelle in Dokumentations- und Übersetzungstools. Die Komponente BC-DOC-TER Terminologie/Glossar wies eine Schwachstelle auf, die es einem Angreifer ermöglichte, beliebigen Code einzuschleusen, der von der Anwendung ausgeführt wurde. Dies könnte dazu führen, dass im Host-Betriebssystem beliebige Befehle ausgeführt werden und somit Informationen gelöscht, offengelegt oder geändert werden.

SAP-Sicherheitshinweise mit höherer CVSS-Bewertung, bereitgestellt von SAP

  • 2222731 – 8.8 (AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:H). Unbefugte Änderung gespeicherter Inhalte im DesignStudio SFIN-Anwendungsfall. Durch Missbrauch der eingebetteten Funktionalität von Design Studio in der Anwendung, wie sie in Simple Finance verwendet wird, kann ein Angreifer den angezeigten Anwendungsinhalt dauerhaft ändern. Diese Cross-Site-Scripting-Schwachstelle kann genutzt werden, um möglicherweise Authentifizierungsinformationen von legitimen Benutzern der Anwendung zu erhalten.
  • 2308217 – 7.5 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H). Fehlende XML-Validierungsschwachstelle in Web-Survey. Web Survey hatte einen Sicherheitsfehler im XML-Parser, der ausgenutzt werden konnte, um ein benutzerdefiniertes XML-Dokument einzugeben, um Daten abzurufen oder einen Denial-of-Service vom lokalen oder einem Remote-Server zu generieren.
  • 2256178 – 6.1 (AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N). Cross-Site Scripting (XSS)-Schwachstelle in Ecattping. Die Komponente „Extended Computer Aided Test Tool“ kodiert Benutzereingaben nicht richtig, was zu einem möglichen Cross-Site-Scripting-Angriff führen kann.

Andere Angriffsvektoren

Jeden Monat aktualisiert Onapsis sein Flaggschiffprodukt Onapsis Security Platform (OSP), damit Sie überprüfen können, ob Ihre Systeme mit den neuesten SAP-Sicherheitshinweisen auf dem neuesten Stand sind Compliance-Anforderungen.

Seien Sie gespannt auf die Security Notes-Analyse des nächsten Monats Onapsis-Forschungslabore.

Anmerkungen:

SAP veröffentlicht einen monatlichen Beitrag im SCN-Bereich „Der offizielle SAP Product Security Response Space“, mit Informationen zu den SAP-Sicherheitshinweisen. Hier ist der Link zum „SAP Security Patch Day – Juni 2016