Denial-of-Service-Angriffe: SAP-Sicherheitshinweise August 2016

Von:

9. August 2016

Heute hat SAP die neueste Ausgabe seiner monatlichen Sicherheitshinweise veröffentlicht. Auch wenn dieser Monat nicht besonders kritisch ist, stehen Denial-of-Service-Angriffe im Mittelpunkt der Aufmerksamkeit. Ein Denial-of-Service-Angriff (DoS) zielt darauf ab, eine oder mehrere Ressourcen unzugänglich zu machen. Im Falle von SAP können DoS-Angriffe teilweise sein und nur ein bestimmtes Programm oder eine bestimmte Datenbank betreffen, oder sie können vollständig sein und die gesamte SAP-Infrastruktur offline schalten. In diesem Monat gibt es nur 16 neue Sicherheitshinweise und 13 Aktualisierungen zu bereits veröffentlichten Sicherheitshinweisen. Die unten aufgeführten CVSS-Werte wurden von unseren Research Labs auf der Grundlage verschiedener Kriterien festgelegt, darunter die Auswirkungen auf die Verfügbarkeit und die Ausnutzbarkeit der Schwachstelle. Von den 16 neuen Sicherheitshinweisen, die diesen Monat veröffentlicht wurden, werden vier als DoS-Angriffe eingestuft. Von diesen vier gelten zwei als „hohes Risiko“ mit einem CVSS-Wert von 7,5 – einer davon wurde vom Onapsis Research Labsgemeldet wurde.

SAP-Sicherheitshinweise zu Denial-of-Service-Angriffen

In diesem Monat wurden die meisten Denial-of-Service-Sicherheitshinweise des Jahres 2016 veröffentlicht. Historisch gesehen weisen Juli und August, wenn man sich die zuvor veröffentlichten SAP-Sicherheitshinweise ansieht, mehr DoS-Schwachstellen auf als das gesamte erste Halbjahr. In diesem Jahr hat SAP 10 von 12 SAP-Sicherheitshinweisen veröffentlicht, die historisch als Denial-of-Service-Fehler bezeichnet wurden (es gibt zudem weitere 39 SAP-Sicherheitshinweise, die als „potenzieller DoS-Angriff“ gekennzeichnet sind).

1. August

 Die SAP-Sicherheitshinweise dieses Monats, die als Denial-of-Service-Angriffe eingestuft wurden, sind:

  • 2292714: Denial-of-Service-Sicherheitslücke (DOS) bei der Erstellung von Speichersnapshots; CVSS v3-Basiswert: 7,5 / 10
  • 2313835: Denial-of-Service (DOS) im SAP Internet Communication Manager CVSS v3 Basiswert: 7,5 / 10
  • 2296909: Denial-of-Service-Sicherheitslücke (DOS) in BPM; CVSS v3-Basiswert: 6,4 / 10
  • 2312905: Denial-of-Service (DOS) in SAPCAR; CVSS v3-Basiswert: 3,4 / 10

Die ersten beiden Sicherheitslücken (einschließlich des von Onapsis gemeldeten SAP-Sicherheitshinweises 2292714) weisen den höchsten CVSS-Wert für diese Art von Angriffen bei SAP auf (einschließlich aller früheren Sicherheitshinweise). Aufgrund unserer Richtlinie zur verantwortungsvollen Offenlegung veröffentlichen wir Details zu Sicherheitshinweisen erst 90 Tage nach deren Veröffentlichung, doch es ist wichtig zu erwähnen, dass der Hauptunterschied zwischen denjenigen mit der höchsten Bewertung und den anderen darin besteht, dass beide aus der Ferne ausgenutzt werden können und die Komplexität des Angriffs gering ist.

Wie schwerwiegend kann ein Denial-of-Service-Angriff auf SAP-Systeme sein?

Laut einer aktuellen Studie des Ponemon Institute zur Cybersicherheit bei SAP können Systemausfälle für ein Unternehmen durchschnittlich Kosten in Höhe von 4,5 Millionen Dollar verursachen. Da die Geschäftskontinuität davon abhängt, dass SAP-Systeme stets verfügbar sind, reichen CVSS-Werte oder Schwachstellenbeschreibungen manchmal nicht aus, um zu verdeutlichen, wie ein einfacher Fehler zu erheblichen Verlusten für Unternehmen führen kann.

Die 5 wichtigsten SAP-Sicherheitshinweise zu Denial-of-Service-Angriffen aller Zeiten:

Wie bereits erläutert, ist der CVSS v3-Wert von 7,5 der bislang höchste Wert, der in SAP-Sicherheitshinweisen zu Denial-of-Service-Angriffen verzeichnet wurde. Auf der Grundlage der Bewertung und der betroffenen Komponenten folgt hier eine Zusammenfassung der wichtigsten Sicherheitshinweise aller Zeiten mit diesem Wert. Zwei davon wurden von unseren Onapsis Research Labs entdeckt. Die Sicherheitshinweise vom August wurden in dieser Analyse nicht berücksichtigt:

  • 1.#2262710: Denial-of-Service-Sicherheitslücke (DOS) im HANA DP Agent (Apr16). Diese von Onapsis entdeckte Sicherheitslücke betrifft die Art und Weise, wie SAP HANA DP mit Speicher umgeht. Ursprünglich reserviert der Agent Speicher auf der Grundlage des Feldes „Paketlänge“ des jeweiligen Protokolls und gibt diesen Speicher erst frei, wenn alle Bytes übertragen wurden. Durch Ausnutzen dieses Verhaltens könnte jedoch ein nicht authentifizierter Angreifer von einem entfernten Standort aus maßgeschneiderte Pakete senden, um eine große Menge an Speicher auf dem SAP HANA DP Agent-Server zu belegen, wodurch dieser für andere Benutzer nicht mehr verfügbar wäre. Ein Hinweis zu dieser Sicherheitslücke wird in Kürze veröffentlicht.
  • 2. #2165583: Sichere Konfiguration der internen Kommunikation in SAP HANA (15. November). Auf interne Dienste von SAP HANA konnte ohne Authentifizierung zugegriffen werden, wenn das HANA-System unsicher konfiguriert war und keine weiteren Sicherheitsmaßnahmen getroffen wurden. Dies könnte unter anderem zu einer vollständigen Beeinträchtigung der Systemverfügbarkeit führen. Ein Hinweis zu dieser Sicherheitslücke kann hier heruntergeladen werden.
  • 3. #2306571: Denial-of-Service (DOS) in SAP Data Services (Juni 2016). SAP Data Services ermöglicht es einem Angreifer, legitime Benutzer daran zu hindern, über die Workbench auf den Metadata Service zuzugreifen, wenn der Angreifer ein manipuliertes Paket sendet. Dies führt zu Dienstunterbrechungen während der Entwicklung von Data-Services-Jobs.
  • 4. #2330839: Denial-of-Service-Angriff (DOS) in mehreren SAP-Sybase-Produkten (16. Juli). Eine Open-Server-Anwendung kann aufgrund eines Segmentierungsfehlers abstürzen, wodurch legitime Benutzer keinen Zugriff auf die Anwendung erhalten.
  • 5. #2258784: Denial-of-Service-Sicherheitslücke (DOS) im Enqueue Server (16. April). Der eigenständige Enqueue Server (ENSA) ermöglicht es einem Angreifer, legitime Benutzer am Zugriff auf einen Dienst zu hindern, indem er den Dienst zum Absturz bringt oder mit Daten überflutet.

Zusammenfassung weiterer Anmerkungen

Das folgende Boxplot-Diagramm veranschaulicht die Verteilung der CVSS-Werte in den veröffentlichten Sicherheitshinweisen. Wie bereits erwähnt, sind die Hinweise vom August im Vergleich zum Vormonat und zum Jahresdurchschnitt nicht besonders kritisch:

2. August

Das Boxplot-Diagramm dient dazu, aufzuzeigen, wo sich die meisten Schwachstellen konzentrieren, und identifiziert die am stärksten und am wenigsten kritischen Werte. In beiden Fällen weist dieser Monat im Vergleich zum Juli und zum Jahresdurchschnitt niedrigere CVSS-Werte auf. Ungeachtet dessen, was wir bereits im vorigen Abschnitt erläutert haben, können Denial-of-Service-Fehler gefährlicher sein, als es der CVSS-Wert vermuten lässt. Die folgende Grafik fasst die Arten der in diesem Monat behobenen Schwachstellen zusammen:

3. August

Was schließlich die Nicht-DOS-Noten betrifft, so gibt es in diesem Monat drei besonders wichtige Noten:

  • #2319506: SQL-Injection-Sicherheitslücke in Database Monitors for Oracle: Hierbei handelt es sich um einen klassischen SQL-Injection-Fehler, bei dem bestimmte Eingabeparameter von Funktionsmodulen nicht ordnungsgemäß bereinigt werden. Das Einfügen bestimmter bösartiger Abfragen könnte zur Offenlegung sensibler Daten führen und es einem Angreifer unter anderem ermöglichen, Daten in der Datenbank zu ändern oder zu löschen. CVSS v3-Basiswert: 7,2 / 10.
  • #1477597: Unbefugte Änderung gespeicherter Inhalte in NW KMC: Böswillige Nutzer können diese Schwachstelle ausnutzen und Anwendungsinhalte ohne Berechtigung ändern. Dies kann zu „Stored Cross-Site-Scripting“-Angriffen führen, bei denen der Angreifer die Inhalte automatisch ausführen kann, ohne die Opfer einzeln ansprechen zu müssen. Es wurde kein CVSS-Wert veröffentlicht.
  • #1718230: Unbefugte Änderung von angezeigten Inhalten in StratBuild: Ein Angreifer kann die Inhalte ohne Berechtigung ändern. In diesem Fall könnte der Angriff zu einem reflektierten Cross-Site-Scripting-Angriff führen, der beispielsweise dazu genutzt werden kann, die Anmeldedaten eines anderen Benutzers zu stehlen. Es wurde kein CVSS-Wert veröffentlicht.

Ziel dieser Analyse ist es, SAP-Kunden die neuesten Informationen zu kürzlich veröffentlichten SAP-Sicherheitshinweisen und Sicherheitslücken zu liefern, die ihre SAP-Systeme betreffen. Wir hoffen, dass dieser Beitrag dazu beiträgt, eine zeitnahe Aktualisierung der Systeme anzuregen, um sicherzustellen, dass neu bekannt gewordene Sicherheitslücken so schnell wie möglich behoben werden. Die Onapsis Research Labs sind derzeit dabei, die Onapsis Security Platform zu aktualisieren, Platform diese neu veröffentlichten Sicherheitslücken zu berücksichtigen. So können Sie überprüfen, ob Ihre Systeme auf dem neuesten Stand der SAP-Sicherheitshinweise sind, und sicherstellen, dass diese Systeme mit dem entsprechenden Sicherheitsniveau konfiguriert sind, um Ihre Audit- und Compliance-Anforderungen zu erfüllen. Seien Sie gespannt auf die Analyse der SAP-Sicherheitshinweise im nächsten Monat.

Stichwörter, ,
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen