Fehlende Berechtigungsprüfungen – SAP-Sicherheitshinweise September 2016

Von:

13. September 2016

Heute ist der zweite Dienstag im September, was bedeutet, dass SAP seine monatliche Reihe von Sicherheitshinweisen veröffentlicht hat. SAP hat diesen Monat 21 SAP-Sicherheitshinweise veröffentlicht (6 Hinweise wurden nach dem 8. August veröffentlicht und enthielten keine „Hot News“-Meldungen). Nur vier Hinweise wurden diesen Monat als „hohe Priorität“ eingestuft (16 hatten mittlere Priorität und einer niedrige). Zwei der vier SAP-Sicherheitshinweise mit „hoher Priorität“ beziehen sich auf das Produkt SAP Adaptive Server Enterprise (SAP ASE – http://go.sap.com/product/data-mgmt/sybase-ase.html):

  • Die erste Schwachstelle, #2358986 „Unzureichende Fehlerprüfung in SAP ASE“, hat einen CVSS v3-Basiswert von 8,8 von 10 und könnte einem Angreifer die Möglichkeit bieten, beliebige SQL-Anweisungen auf dem betroffenen SAP ASE-Server auszuführen.
  • Die zweite Schwachstelle #2353243 „SQL-Injection-Schwachstelle in SAP ASE“ weist einen CVSS v3-Basiswert von 7,2 von 10 auf. Durch Ausnutzung dieser Schwachstelle kann ein böswilliger Benutzer Objekte erstellen, die speziell gestaltete SQL-Anweisungen enthalten, und administrative Befehle auf dem SAP-ASE-Server ausführen.

Fehlende Berechtigungsprüfungen

Fast die Hälfte der in diesem Monat veröffentlichten Notes betrifft fehlende Berechtigungsprüfungen:

  • 2318530 – Fehlende Berechtigungsprüfung in FI-LOC-SD-RU (hohe Priorität)
  • 1627922 – Fehlende Berechtigungsprüfung in SAA_REMOTE_OP_TRANSACTION (Hohe Priorität)
  • 2069820 – Fehlende Berechtigungsprüfung in BW-BEX-ET (mittlere Priorität)
  • 2353024 – Fehlende Berechtigungsprüfung in der Artikelverwaltung (mittlere Priorität)
  • 2357695 – Fehlende Berechtigungsprüfung für einzelne Konditionen (mittlere Priorität)
  • 2357856 – Fehlende Berechtigungsprüfung der Standardbedingungen (mittlere Priorität)
  • 2294866 – Fehlende ordnungsgemäße Berechtigungsprüfungen im JMS-Provider-Dienst (mittlere Priorität)
  • 2250863 – Fehlende Berechtigungsprüfung in XX-CSC-IN-MM (Niedrige Priorität)

Was ist eine Sicherheitslücke aufgrund fehlender Autorisierung?

Wie in der Common Weakness Enumeration (CWE – https://cwe.mitre.org/data/definitions/862.html) dargelegt: „Eine Schwachstelle liegt vor, wenn ein Akteur, der mit dem System interagiert, versucht, auf eine Ressource zuzugreifen oder eine bestimmte Aktion darin auszuführen, zu der der Zugriff eingeschränkt sein sollte, und der Anwendung eine entsprechende control fehlt.“ Ob der Anwendungsbenutzer authentifiziert ist oder nicht, beeinflusst den CVSS-Vektor und damit die CVSS-Bewertung und die Priorität des SAP-Sicherheitshinweises. Bei den SAP-Sicherheitshinweisen (ab September 2009) macht die Schwachstelle „Fehlende Autorisierungsprüfung“ etwa 16 % der gesamten Sicherheitshinweise aus.

Zusammenfassung der Notizen vom September

Das folgende Boxplot-Diagramm veranschaulicht die Verteilung der CVSS-Werte in den veröffentlichten Sicherheitshinweisen. Wie bereits erwähnt, sind die Hinweise vom September im Vergleich zu den Vormonaten und zum Jahresdurchschnitt nicht kritisch:

Boxplot

Das folgende Boxplot-Diagramm zeigt, wo sich die meisten Schwachstellen konzentrieren, und gibt Aufschluss über die am stärksten und am wenigsten kritischen Werte. Das Diagramm vergleicht den Jahresdurchschnitt sowie den letzten Monat mit dem September. Das folgende Diagramm fasst die Arten der in diesem Monat behobenen Schwachstellen zusammen:

Kreisdiagramm für September

Onapsis Research Labs

In diesem Monat hat Nahuel Sánchez, einer der leitenden Forscher bei Onapsis, einen Bericht über eine in SAP HANA entdeckte Sicherheitslücke (2347944) verfasst. Durch Ausnutzung dieses Sicherheitsfehlers könnte ein nicht authentifizierter Angreifer aus der Ferne den Hostnamen und die Version des CCMS-Agenten ermitteln. Der CVSS v3-Basiswert beträgt 5,3. Die Onapsis Research Labs derzeit dabei, die Onapsis Security Platform zu aktualisieren, Platform diese neu veröffentlichten Sicherheitslücken zu berücksichtigen. So können Sie überprüfen, ob Ihre Systeme auf dem neuesten Stand der aktuellen SAP-Sicherheitshinweise sind, und sicherstellen, dass diese Systeme mit dem erforderlichen Sicherheitsniveau konfiguriert sind, um Ihre Audit- und Compliance-Anforderungen zu erfüllen. Seien Sie gespannt auf die Analyse der SAP-Sicherheitshinweise im nächsten Monat.

Stichwörter, ,
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen