Onapsis Research Labs hat Onapsis Research Labs dazu beigetragen, Sicherheitslücken in SAP HANA SPS12 aufzudecken und zu beheben – SAP-Sicherheitshinweise Dezember 2016

Heute hat SAP 23 Sicherheitshinweise veröffentlicht, womit sich die Gesamtzahl seit dem letzten zweiten Dienstag im November auf 32 erhöht, wobei mehrere Hinweise berücksichtigt sind, die außerhalb des regulären Veröffentlichungsplans veröffentlicht wurden. Wie in jedem Monat Onapsis Research Labs die Onapsis Research Labs Einfluss auf die Entwicklung der SAP-Sicherheit. In diesem Monat wurden SAP sechs Sicherheitshinweise von unseren Forschern Sergio Abraham, Nahuel Sanchez und Emiliano Fausto gemeldet (alle auf der SAP-Webseite anerkannt). Diese Release Notes beheben 20 Sicherheitslücken auf verschiedenen Plattformen, die unser Team eingehend untersucht hat: SAP HANA und SAP For Defense. Die folgende Grafik zeigt, dass die Release Notes dieses Monats im Vergleich zum Vormonat sowie im Jahresdurchschnitt umfangreicher ausfallen. Dies liegt daran, dass es in diesem Monat mehr Release Notes gibt und diese im Vergleich zu den Vormonaten schwerwiegender sind, obwohl es keine aktuellen Schlagzeilen gibt:

Onapsis-Bericht: Zwischen SAP HANA und SAP For Defense

Wie bereits erwähnt, gibt es in diesem Monat mehrere SAP-Sicherheitshinweise, die von unserem Research Labs-Team gemeldete Fehler beheben. Tatsächlich wurden 20 Schwachstellen in 6 Hinweise zusammengefasst, die je nach betroffener platform unterteilt werden können. Mehrere fehlende Berechtigungsprüfungen wurden je nach platform in drei Hinweise zusammengefasst. Wenn der Hinweis nicht ordnungsgemäß installiert wird, führen die Produkte die erforderlichen Berechtigungsprüfungen für einen authentifizierten Benutzer nicht durch, was zu einer Ausweitung von Berechtigungen führen kann. SAP Mobile Defense & Security sowie Defense Forces and Public Security sind die betroffenen Lösungen, in denen Onapsis Researches mehrere Funktionsmodule gefunden hat, die die erforderliche Berechtigungsprüfung nicht durchführten. Nach der Installation werden Berechtigungsprüfungen hinzugefügt, um die ordnungsgemäße Autorisierung für diese Objekte sicherzustellen. Jeder dieser Hinweise ist als mittlere Priorität eingestuft, jedoch weist jeder Hinweis einen anderen CVSS-Score auf. Dieser Score basiert auf der Art der betroffenen Funktion und darauf, was ein Angreifer tun kann, wenn die Schwachstelle ausgenutzt wird:

• Fehlende Autorisierungsprüfung in SAP Mobile Defense & Security 1.6 (2374749). CVSS v3-Basiswert: 6,3 / 10.
• Fehlende Autorisierungsprüfung in den EA-DFPS-Überwachungstools (2376998). CVSS v3-Basiswert: 4,3 / 10.
• Fehlende Autorisierungsprüfung in den Synchronisationsmechanismen von EA-DFPS (2377067). CVSS v3-Basiswert: 6,4 / 10.

Darüber hinaus gibt es drei weitere Sicherheitshinweise, die SAP HANA betreffen, eine platform wir seit ihrer Einführung untersuchen. SAP HANA ist eines der neuesten SAP-Produkte, und zahlreiche Kunden weltweit stellen derzeit auf diese Lösung um. Nachfolgend finden Sie eine Auflistung der Sicherheitshinweise, die SAP HANA betreffen:

• Offenlegung von Informationen im SAP HANA XS Classic User Self-Service (2394445). CVSS v3-Basiswert: 5,3 / 10.
• Offenlegung von Informationen im SAP-HANA-Cockpit für die Offline-Verwaltung (2351486). CVSS v3-Basiswert: 4,9 / 10.
• Cross-Site-Scripting-Sicherheitslücke (XSS) in der Sicherungsfunktion des SAP-HANA-Cockpits (2379342). CVSS v3-Basiswert: 3,5 / 10.

Der erste Fehler betrifft die Offenlegung von Benutzerinformationen und hängt mit der Meldung zusammen, die das Produkt bei einer bestimmten Abfrage anzeigt: Die Eingabe gültiger und ungültiger Benutzernamen sollte stets zum gleichen Ergebnis führen, um zu verhindern, dass gültige Benutzernamen im System erraten werden können. Ist die Meldung für gültige Benutzer nicht identisch, kann ein Angreifer diese Ressource per Brute-Force-Angriff testen, um zu überprüfen, ob bestimmte Benutzernamen im System vorhanden sind (oder nicht). Im zweiten Fall wurden bestimmte Funktionen im SAP-HANA-Cockpit eingeschränkt, um unbefugten Zugriff auf Betriebssystemdateien zu verhindern. Ohne die Installation des Notes können Betriebssystemdateien über den Dienst mithilfe einer bestimmten HTTP-Anfrage erreicht werden. Obwohl in SAP HANA ein gültiger adm-Benutzer erforderlich ist, was die Ausnutzungsmöglichkeiten einschränkt, sollten selbst diese Benutzer keine Rechte zum Zugriff auf Dateien auf dem Server haben. Die Verbesserungen sind in SAP HANA Revision 112.06 (für SPS11) und Revision 122.02 (für SPS12) enthalten. Führen Sie ein Update auf diese oder spätere Revisionen durch. Es ist erwähnenswert, dass dies die ersten für SAP HANA SPS12 veröffentlichten Sicherheitshinweise waren, die sich direkt auf die Datenbank oder die XS Engine auswirkten. Seit der Einführung von SAP HANA Onapsis Research Labs SAP aktiv Onapsis Research Labs der Verbesserung der Sicherheit von SAP HANA, indem sie Dutzende von Fehlern erforschen und melden. Bis heute stammen mehr als 50 % der SAP HANA-Sicherheitshinweise von den Onapsis Research Labs. Wie gezeigt, ist SAP-Sicherheit nicht nur ein NetWeaver-Thema: Es gibt mehrere Produkte und Lösungen, die Aufmerksamkeit erfordern, um sie mit den neuesten von SAP veröffentlichten SAP-Hinweisen auf dem aktuellen Stand zu halten.

SAP-Hinweise mit hoher Priorität

Wie bereits erwähnt, gibt es in diesem Monat zwar keine brandaktuellen Meldungen, jedoch mehrere Sicherheitshinweise, die als „hohe Priorität“ eingestuft sind. Hier ist eine Liste der wichtigsten SAP-Sicherheitshinweise für Dezember:

• Deserialisierung nicht vertrauenswürdiger Daten in Platform 2265964): Mit dem höchsten CVSS-Wert des Monats kann diese Sicherheitslücke aufgrund eines bekannten Deserialisierungsfehlers – in diesem Fall in Platform SAP Platform – zur Ausführung von Befehlen aus der Ferne oder sogar zu einem Denial-of-Service-Angriff führen. CVSS v3-Basiswert: 7,1 / 10
• Offenlegung von Informationen in Business Objects Explorer (2336393): Dieser Hinweis behebt das Problem, dass beim Löschen einer Instanz während der Ausführung bestimmte Dokumente erstellt werden. Diese Dokumente könnten vertrauliche Informationen enthalten, ohne dass ein angemessener Schutz zur Gewährleistung der Autorisierung vorhanden ist. Nach der Installation des Hinweises werden in diesem Szenario keine Dokumente mehr erstellt. CVSS v3-Basiswert: 7,1 / 10
• Mögliche Änderung/Offenlegung von persistenten Daten in BC-ESI-UDDI (2101079): Diese Mitteilung ist eine aktualisierte Version, die die Daten zu Support-Paketen und Patches für eine Sicherheitslücke aktualisiert, die durch manipulierte Eingaben auf dem System zum Zugriff auf oder zur Änderung bestimmter Informationen führen kann. CVSS-Basiswert: 6,8 / 10
• Fehlende Berechtigungsprüfung in FM DD_DB_IMIG_CALL_INSTTOOL (1718613): Bei diesem Hinweis handelt es sich um eine typische fehlende Berechtigungsprüfung, und es wird nicht ausdrücklich erläutert, warum es sich um eine Korrektur mit hoher Priorität handelt. Es ist nicht der relevanteste Sicherheitshinweis, der in dieser Liste beachtet werden sollte. CVSS-Basiswert: 4,6 / 10

Die ersten beiden SAP-Sicherheitshinweise müssen in Ihrem Patch-Prozess unbedingt vorrangig behandelt und so schnell wie möglich umgesetzt werden. Die Onapsis Research Labs derzeit daran, die Onapsis Security Platform zu aktualisieren, Platform diese neu veröffentlichten Sicherheitslücken Platform berücksichtigen. Dadurch können Sie überprüfen, ob Ihre Systeme auf dem neuesten Stand dieser aktuellen SAP-Sicherheitshinweise sind, und sicherstellen, dass diese Systeme mit dem erforderlichen Sicherheitsniveau konfiguriert sind, um Ihre Audit- und Compliance-Anforderungen zu erfüllen. In diesem Jahr Onapsis Research Labs die Onapsis Research Labs Fehler in mehr als 20 SAP-Sicherheitshinweisen Onapsis Research Labs . Wir arbeiten an einer Zusammenfassung unseres Jahresrückblicks, die Ihnen im Januar zusammen mit dem ersten Patch Day 2017 vorliegen wird – bleiben Sie dran!