Analyse der SAP-Sicherheitshinweise vom März 2016

SAP ist ein komplexes und sich ständig wandelndes System, sei es aufgrund von Anpassungen an Ihrer SAP-Implementierung, um diese besser an Ihre geschäftlichen Anforderungen anzupassen, oder durch die Installation von Sicherheitshinweisen (Patches), um neu bekannt gewordene Sicherheitslücken zu schließen.

Um einen planbaren und regelmäßigen Fluss an Informationen zur Behebung von Sicherheitslücken sowie an Sicherheitspatches zu gewährleisten, veröffentlicht SAP den Großteil seiner aktuellen Sicherheitshinweise am zweiten Dienstag jedes Monats. Angesichts dieser regelmäßigen Bekanntgabe neuer Sicherheitsprobleme, die die Sicherheit von SAP-Systemen innerhalb eines Unternehmens potenziell beeinträchtigen könnten, wird dringend empfohlen, mindestens einmal monatlich regelmäßige Überprüfungen durchzuführen.

Bei Onapsis liegt uns die Sicherheit der SAP-Systeme unserer Kunden sowie die allgemeine SAP-Sicherheit sehr am Herzen. Um unsere Kunden zu unterstützen, führen wir daher eine detaillierte Analyse der monatlichen SAP-Sicherheitshinweise durch, sobald diese veröffentlicht werden. Ziel ist es, SAP-Kunden detaillierte Informationen zu den neu veröffentlichten Hinweisen und Schwachstellen zu liefern, die ihre SAP-Systeme betreffen, und sie bei der Durchführung von Tests dieser Systeme in ihrem Unternehmen zu unterstützen.

Zwischen dem letzten veröffentlichten SAP Security Tuesday und heute hat die SAP AG 28 SAP-Sicherheitshinweise veröffentlicht (unter Berücksichtigung von 10 Support-Paketen und 18 Patch-Day-Hinweisen). Die Onapsis Research Labs hatten wie fast jeden Monat dazu beigetragen, in der SAP-Software gefundene Schwachstellen zu melden (Danksagung an die Sicherheitsforscher).
Der in diesem Monat veröffentlichte SAP-Sicherheitshinweis, der sich auf eine von den Onapsis Research Labs gemeldete „Hot News“-Warnung bezog, Onapsis Research Labs :

• 2260344; 9.0 (AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:H/A:H). Sicherheitslücke durch OS-Befehlsinjektion in SCTC_*-Funktionsbausteinen

Das Boxplot-Diagramm veranschaulicht die Verteilung der CVSS-v3-Werte in den veröffentlichten Sicherheitshinweisen. Für die Erstellung des Diagramms wurden ausschließlich diejenigen Sicherheitshinweise berücksichtigt, für die SAP einen CVSS-v3-Wert festgelegt hat (16 der 28 SAP-Sicherheitshinweise). Wie aus dem Diagramm hervorgeht, reichen die Werte der SAP-Sicherheitshinweise von 4,3 bis 9,0, wobei der Median bei 6,1 liegt.

Aktuelles von SAP

• 2260344 – 9.0 (AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:H/A:H). Sicherheitslücke durch OS-Befehlsinjektion in SCTC_*-Funktionsbausteinen. Dieser Hinweis behebt bestimmte Funktionsbausteine, die über die Transaktion SE37 aufgerufen werden können und es einem Angreifer ermöglichen könnten, beliebige OS-Befehle im SAP-System auszuführen.
• 2281195 – Es wurde kein CVSS v3 angegeben. Mögliche Fernbeendigung laufender Prozesse in SAP Visual Enterprise Author, Generator und Viewer. Dieser Hinweis behebt eine Sicherheitslücke in den folgenden Anwendungen:
  • SAP Visual Enterprise Author 8.0 SP04 MP3
  • SAP Visual Enterprise Generator 8.0 SP04 MP3
  • SAP Visual Enterprise Viewer 8.0 SP04 MP3

  Durch die Ausnutzung einer Sicherheitslücke in einem Plugin dieser Anwendungen kann ein Angreifer eine Speicherbeschädigung verursachen, die zum Absturz der App führt, wodurch diese bis zu einem manuellen Neustart unbrauchbar wird.

Von SAP bereitgestellte SAP-Sicherheitshinweise mit höherer CVSS-Bewertung

• 2037304 – *8.5 (AV:N/AC:M/Au:S/C:C/I:C/A:C). Fehlende ordnungsgemäße Eingabevalidierung im SDCC-Download-Funktionsbaustein. Der Hinweis betrifft einen Funktionsbaustein Control Service Data Control , der Eingabeparameter nicht validierte.
• 2223688 – 6.5 (AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H). Mögliche Denial-of-Service-Anfälligkeit im Message Server. Der Patch behebt eine Sicherheitslücke im Message Server. Ein Angreifer könnte eine bestimmte Anfrage senden, um die Ressourcen des Message Servers zu erschöpfen und so das System lahmzulegen.
• 2235994 – 6.4 (AV:A/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H). Im Konfigurationsassistenten ist das Parsen nicht vertrauenswürdiger XML-Eingaben möglich. Der Hinweis behebt eine Sicherheitslücke vom Typ „XML eXternal Entity“, durch die ein böswilliger Benutzer speziell gestaltete XML-Inhalte senden kann, um einen Denial-of-Service-Angriff durchzuführen oder Daten aus dem betroffenen SAP-System abzurufen.
• 2210310 – 6.3 (AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L). Unbefugte Nutzung von Anwendungsfunktionen im NavigationServlet. Der Hinweis betrifft eine Sicherheitslücke, die es einem Angreifer ermöglichen könnte, Funktionen im NavigationServlet ohne ordnungsgemäße Authentifizierung oder Berechtigungen auszuführen.
• 2269315 – 6.3 (AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L). Fehlende Autorisierungsprüfung in der OAuth2-Server-Laufzeitumgebung. Der Hinweis behandelt ein Sicherheitsproblem in der OAuth2-Server-Laufzeitumgebung. In bestimmten ICF-Konfigurationen kann ein bereits authentifizierter Benutzer das OAuth2-Zugriffstoken verwenden, um auf OData-Dienste zuzugreifen, deren Zugriff eigentlich eingeschränkt sein sollte.
• 2253850 – 6.3 (AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L). XML-Externe-Entität-Sicherheitslücke in RTMF. Der Hinweis behandelt eine Sicherheitslücke vom Typ XXE (eXternal XML Entity) im Real Time Messaging Framework, durch die ein böswilliger Benutzer eine speziell gestaltete XML-Datei senden kann, um einen Denial-of-Service-Angriff auszulösen oder Informationen aus dem betroffenen System abzurufen.

*Hinweis: Dies war der einzige CVSS-Wert, der nach Version 2 angegeben wurde; die übrigen wurden nach Version 3 des CVSS berechnet.

Weitere Angriffsvektoren

• Reflected Cross-Site Scripting (XSS): Hinweise 2204581, 2238765, 2238375, 2189174, 1676754
• Stored Cross-Site Scripting (XSS): Hinweis 2219896
• Fehlende Berechtigungsprüfung: Hinweise 2069820, 2064501, 1658568
• Verzeichnisdurchlauf: Hinweis 2234971
• XML External Entity (XXE): Hinweis 2085214
• Offenlegung von Informationen: Vermerke 2258786, 2260895, 1771200, 2255990, 2196420, 2069994
• Aktualisierung eines SAP-Sicherheitshinweises: Der Hinweis 2071329 aktualisiert den SAP-Sicherheitshinweis 1676754
• Fest codierte Benutzeranmeldedaten: Hinweis 1905286
• Unzureichende Verschlüsselung sensibler Daten: Hinweis 2282338

Onapsis aktualisiert sein Flaggschiffprodukt, die Onapsis Security Platform OSP), jeden Monat, damit Sie überprüfen können, ob Ihre Systeme auf dem neuesten Stand der SAP-Sicherheitshinweise sind, und um sicherzustellen, dass diese Systeme mit dem erforderlichen Sicherheitsniveau konfiguriert sind, um Ihre Audit- und Compliance-Anforderungen zu erfüllen.

Seien Sie gespannt auf die Analyse der „Security Notes“ im nächsten Monat von den Onapsis Research Labs.

HINWEIS:

SAP hat seinen monatlichen Beitrag im SCN-Bereich „The Official SAP Product Security Response Space“ veröffentlicht, der Informationen zu den SAP-Sicherheitshinweisen enthält.
Hier ist der Link zum SAP-Blogbeitrag: „SAP Security Patch Day – März 2016“
Wie auf der offiziellen Website angekündigt, wird ab sofort die CVSS-Version 3 für die Priorisierung der SAP-Sicherheitshinweise verwendet.