Analyse der SAP-Sicherheitshinweise vom Mai 2016

Von:

10. Mai 2016

SAP-Systeme steuern die geschäftskritischen Prozesse eines Unternehmens und beherbergen dessen sensibelste Daten. Aus diesem Grund ist es von entscheidender Bedeutung, dass diese Systeme den angemessenen Schutz erhalten, den sie verdienen. Dieser Schutz beginnt damit, Sicherheitslücken durch die zeitnahe Installation der von SAP veröffentlichten Sicherheitspatches zu schließen.

SAP-Systeme unterscheiden sich von herkömmlichen Webanwendungen und sogar von Betriebssystemen aufgrund ihrer Komplexität, die durch kundenspezifische Anpassungen in den Implementierungen entsteht, um den geschäftlichen Anforderungen besser gerecht zu werden (auch als „Customizations“ bezeichnet). Diese Anpassungen können es mitunter erschweren, festzustellen, ob ein Patch ordnungsgemäß angewendet wurde, um sicherzustellen, dass neu bekannt gewordene Sicherheitslücken behoben sind.

Um einen planbaren und regelmäßigen Fluss von Informationen zur Behebung von Sicherheitslücken sowie von Sicherheitspatches zu gewährleisten, veröffentlicht SAP den Großteil seiner aktuellen Sicherheitshinweise am zweiten Dienstag jedes Monats. Angesichts dieser regelmäßigen Bekanntgabe neuer Sicherheitsprobleme, die die Sicherheit von SAP-Systemen innerhalb eines Unternehmens potenziell beeinträchtigen könnten, wird dringend empfohlen, mindestens einmal monatlich regelmäßige Überprüfungen durchzuführen.

Bei Onapsis liegt uns die Sicherheit der SAP-Systeme unserer Kunden sehr am Herzen. Um unsere Kunden bestmöglich zu unterstützen, führen wir eine detaillierte Analyse der monatlichen SAP-Sicherheitshinweise durch, sobald diese von SAP veröffentlicht werden. Ziel ist es, SAP-Kunden detaillierte Informationen zu jedem Release neuer Sicherheitspatches zu liefern, die Schwachstellen in ihren SAP-Systemen beheben, und sie bei der Durchführung von Tests dieser Systeme innerhalb ihres Unternehmens zu unterstützen.

Seit dem letzten veröffentlichten SAP Security Tuesday bis heute hat SAP 20 neue SAP-Sicherheitshinweise veröffentlicht (darunter 10 Support-Pakete und 10 Patch-Day-Hinweise).

Das Boxplot-Diagramm veranschaulicht die Verteilung der CVSS-v3-Werte in den veröffentlichten Sicherheitshinweisen. Berücksichtigt wurden dabei nur diejenigen Hinweise, für die SAP einen CVSS-v3-Wert festgelegt hat (10 der 20 SAP-Sicherheitshinweise). Wie aus dem Diagramm hervorgeht, reichen die Werte der SAP-Sicherheitshinweise von 3,1 bis 9,0, wobei der Median bei 5,7 liegt.

Aktuelles von SAP

  • 2296023– 9.0 (AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H). Fehlende Authentifizierungsprüfung im SAP ASE XPServer. Unter bestimmten Umständen könnte der XPServer von einem Angreifer missbraucht werden, wodurch ein nicht authentifizierter Benutzer beliebige Befehle auf dem Server ausführen könnte, auf dem SAP ASE läuft.

Von SAP bereitgestellte SAP-Sicherheitshinweise mit höherer CVSS-Bewertung

  • 2307384und2298367– 7.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L). SAP Predictive Analytics und Crystal Reports for Enterprise verwendeten eine Version von Apache Commons Collections, die nicht vertrauenswürdige Daten deserialisiert, ohne sie ordnungsgemäß zu bereinigen. Dies könnte es einem böswilligen Benutzer ermöglichen, beliebige Befehle auf dem Remote-Server auszuführen.

Weitere Korrekturen mit hoher Priorität (kein CVSS-Wert von SAP angegeben)

  • 2195409: Mögliche Manipulation/Offenlegung von persistenten Daten in der SAP CPQ-Lösungskonfiguration (SME). Die Komponente „SAP CPQ-Lösungskonfiguration“ war anfällig für einen SQL-Injection-Angriff; durch Ausnutzung dieser Schwachstelle konnte ein Angreifer Daten in der Datenbank verändern oder Informationen aus der Datenbank abrufen.
  • 1850010: Mögliche Manipulation/Offenlegung von persistenten Daten in CRM-CM. Die Komponente SAP CRM Case Management war anfällig für einen SQL-Injection-Angriff; durch Ausnutzung dieser Schwachstelle konnte ein Angreifer Daten in der Datenbank des Produkts verändern oder Informationen aus der Datenbank abrufen.
  • 1933375: RU ERP für das Bankwesen. Fehlende Berechtigungsprüfung. Mögliche Änderung von gespeicherten Daten. Dieser Hinweis behebt einen Sicherheitsfehler in den Komponenten Finanzbuchhaltung und Lokalisierung für Russland. In beiden Komponenten fehlt eine ordnungsgemäße Authentifizierungsprüfung, sodass ein authentifizierter Benutzer Funktionen dieser beiden Module nutzen kann, auf die der Zugriff eigentlich beschränkt sein sollte.

Weitere Angriffsvektoren

Onapsis aktualisiert sein Flaggschiffprodukt, die Onapsis Security Platform OSP), jeden Monat, damit Sie überprüfen können, ob Ihre Systeme auf dem neuesten Stand der SAP-Sicherheitshinweise sind, und um sicherzustellen, dass diese Systeme mit dem erforderlichen Sicherheitsniveau konfiguriert sind, um Ihre Audit- und Compliance-Anforderungen zu erfüllen.

Seien Sie gespannt auf die Analyse der „Security Notes“ im nächsten Monat von den Onapsis Research Labs.

HINWEIS:

SAP hat seinen monatlichen Beitrag im SCN-Bereich„The Official SAP Product Security Response Space“ veröffentlicht, der Informationen zu den SAP-Sicherheitshinweisen enthält. Hier ist der Link zum SAP-Blogbeitrag:„SAP Security Patch Day – Mai 2016“

Stichworte, , ,
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen