SAP-Sicherheitspatch-Tag: April 2023
Kritische Sicherheitslücken im SAP Diagnostics Agent stellen ein Risiko für SAP-Systeme dar
Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom April gehören:
- Zusammenfassung für April – Es wurden 24 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter fünf HotNews-Hinweise und ein Hinweis mit hoher Priorität.
- SAP Diagnostics Agent im Fokus – Zwei kritische Sicherheitslücken gefährden die gesamte Systemlandschaft
- Onapsis Research Labs – Onapsis Research Labs zur Behebung von acht Sicherheitslücken Onapsis Research Labs , die in sieben SAP-Sicherheitshinweisen behandelt wurden. Dazu gehören zwei „HotNews“-Sicherheitslücken im SAP Diagnostics Agent sowie ein Sicherheitshinweis mit hoher Priorität, der das BI Content AddOn (BI_CONT) betrifft.
- Sicherheitslücke mittlerer Schweregrad mit potenziell weitreichenden Auswirkungen – Es ist möglich, diese Sicherheitslücke mit anderen bereits behobenen Sicherheitslücken zu kombinieren.
SAP hat an seinem Patch Day im April vierundzwanzig neue und aktualisierte Sicherheitshinweise veröffentlicht (einschließlich der Hinweise, die seit dem letzten Patch Tuesday veröffentlicht oder aktualisiert wurden). Darunter befinden sich fünf HotNews-Hinweise und ein Hinweis mit hoher Priorität.
Einer der fünf HotNews-Hinweise ist der regelmäßig erscheinende SAP-Sicherheitshinweis Nr. 2622660, der ein Update für den SAP Business Client enthält, einschließlich der neuesten unterstützten Chromium-Patches. Der SAP Business Client unterstützt nun Chromium-Version 111.0.5563.65, die insgesamt 71 Sicherheitslücken behebt, darunter zwei Sicherheitslücken mit kritischer und 32 mit hoher Priorität. Der maximale CVSS-Wert aller behobenen Sicherheitslücken beträgt 8,8.
Zwei der fünf HotNews-Notizen enthalten kleinere Aktualisierungen:
Das wichtigere Update betrifft den SAP-Sicherheitshinweis Nr. 3273480, der ursprünglich am Patch Tuesday im Dezember 2022 von SAP veröffentlicht wurde. Der Hinweis ist mit einem CVSS-Wert von 9,9 versehen und behebt eine Control im Zusammenhang mit Control unzureichenden Control in SAP NetWeaver AS Java. SAP hat nun einen Fix für SP026 hinzugefügt.
Der HotNews-Eintrag Nr . 3294595, der mit einem CVSS-Wert von 9,6 versehen ist, enthält lediglich eine textliche Aktualisierung des Abschnitts „Lösung“. Für Kunden, die den Patch bereits installiert haben, sind keine weiteren Maßnahmen erforderlich.
Die neuen HotNews -Notizen im Detail
Die Onapsis Research Labs ORL) haben zur Behebung von zwei kritischen Sicherheitslücken im SAP Diagnostics Agent beigetragen. Die ORL stellten fest, dass die Komponenten „OSCommandBridge“ und „EventLogService Collector“ des Agenten es einem nicht authentifizierten Benutzer ermöglichen, Skripte auf allen mit dem SAP SolutionManager verbundenen Diagnostics Agents auszuführen. In Verbindung mit einer unzureichenden Eingabevalidierung konnten Angreifer bösartige Befehle auf allen überwachten SAP-Systemen ausführen, was erhebliche Auswirkungen auf deren Vertraulichkeit, Integrität und Verfügbarkeit hatte. Der SAP-Sicherheitshinweis Nr. 3305369, der mit der maximalen CVSS-Bewertung von 10 versehen ist, enthält einen Patch für eine Vielzahl von Support-Paket-Levels. Die folgende Tabelle zeigt einige wichtige Aspekte der beiden Schwachstellen und ihre Unterschiede auf:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Der SAP-Hinweis verweist für weitere Details auf den SAP-KBA #3309989 (zum Zeitpunkt der Erstellung dieses Beitrags noch in Arbeit). Wir empfehlen, den Patch unverzüglich zu installieren, da die Sicherheitslücke ein hohes Risiko für die gesamte SAP-Systemlandschaft darstellt.
Der zweite neue HotNews-Hinweis ist der SAP-Sicherheitshinweis Nr. 3298961 mit einem CVSS-Wert von 9,8. Der Hinweis behebt eine kritische Sicherheitslücke, die zur Offenlegung von Informationen in Platform SAP BusinessObjects Business Intelligence Platform Promotion Management) führt. Eine fehlende Durchsetzung des Passwortschutzes ermöglicht es einem Angreifer mit grundlegenden Privilegien, Zugriff auf die Datei „lcmbiar“ zu erlangen. Nach erfolgreicher Entschlüsselung ihres Inhalts könnte der Angreifer Zugriff auf die Passwörter der BI-Benutzer erhalten. Je nach den Berechtigungen des imitierten Benutzers könnte ein Angreifer die Vertraulichkeit, Integrität und Verfügbarkeit des Systems vollständig gefährden.
SAP-Sicherheitshinweise mit hoher Priorität
Der SAP-Sicherheitshinweis Nr. 3305907 mit einem CVSS-Wert von 8,7 ist der einzige Hinweis mit hoher Priorität im April. Das ORL hat zur Behebung einer Directory-Traversal-Sicherheitslücke im Add-On „BI_CONT“ beigetragen. Ein Bericht des Add-Ons ermöglicht es einem Angreifer mit Administratorrechten, beliebige und potenziell kritische Betriebssystemdateien zu überschreiben. Dies könnte dazu führen, dass das betroffene System vollständig ausfällt. Der Patch deaktiviert den anfälligen Bericht vollständig.
Weitere Beiträge der Onapsis Research Labs
Die Onapsis Research Labs haben SAP im Jahr 2023 – einschließlich des Monats April – nun Forschungsbeiträge für insgesamt 36 Patches geliefert. Neben den beiden „HotNews“-Patches und dem heute am Patch Day veröffentlichten Patch mit hoher Priorität hat unser Team auch zu weiteren fünf Notes mit mittlerer Priorität beigetragen.
Die SAP-Sicherheitshinweise Nr. 3303060 und Nr . 3296378, die mit einem CVSS-Wert von 5,3 bzw. 6,5 versehen sind, beheben Denial-of-Service-Schwachstellen in SAP NetWeaver AS ABAP/ABAP Platform. Durch speziell gestaltete Anfragen kann ein Angreifer ohne Administratorrechte ein System aus der Ferne vollständig lahmlegen.
Der SAP-Sicherheitshinweis Nr. 3289994, der mit einem CVSS-Wert von 6,5 bewertet wurde, behebt eine Sicherheitslücke im Zusammenhang mit fehlender Authentifizierung im SAP NetWeaver Enterprise Portal. Die Sicherheitslücke ermöglicht es nicht authentifizierten Angreifern, sich an eine offene Schnittstelle anzuschließen und über eine offene API auf einen Dienst zuzugreifen, wodurch sie Server-Einstellungen und Daten einsehen oder ändern können, was isoliert betrachtet zu einer begrenzten Beeinträchtigung der Vertraulichkeit und Integrität führt. Es ist jedoch möglich, dass ein Angreifer diese spezielle Schwachstelle mit einer Reihe bereits behobener Schwachstellen verknüpft, die das ORL-Team als „P4CHAINS“ bezeichnet hat. Weitere Informationen finden Sie in diesem Blogbeitrag, in dem JP Perez-Etchegoyen eine detaillierte Analyse veröffentlicht hat.
Der SAP-Sicherheitshinweis Nr. 3309056, der mit einem CVSS-Wert von 6 versehen ist, behebt eine Code-Injection-Sicherheitslücke in SAP CRM. Das ORL-Team hat einen aus der Ferne aufrufbaren Funktionsbaustein entdeckt, der den generischen Aufruf anderer Anwendungsfunktionsbausteine ermöglicht. Angreifer benötigen lediglich die erforderliche S_RFC-Berechtigung für den anfälligen Baustein. Der Patch deaktiviert den betroffenen Baustein vollständig.
Der SAP-Sicherheitshinweis Nr. 3287784, der mit einem CVSS-Wert von 5,3 bewertet wurde, behebt Control im Zusammenhang mit Control unzureichenden Control im Deploy-Service eines SAP NetWeaver AS Java. control einer mangelnden control ein nicht authentifizierter Angreifer an eine offene Schnittstelle anbinden und über eine offene Namens- und Verzeichnis-API auf einen Dienst zugreifen. Ein erfolgreicher Angriff könnte Lesezugriff auf Serverdaten ermöglichen, wobei die Vertraulichkeit des Systems nur geringfügig beeinträchtigt wird.
Zusammenfassung und Schlussfolgerungen
Mit vierundzwanzig neuen und aktualisierten SAP-Sicherheitshinweisen, darunter fünf HotNews-Hinweise und ein Hinweis mit hoher Priorität, verspricht der SAP-Patch-Day im April ein arbeitsreicher Tag zu werden. SAP-Kunden sollten der Implementierung des HotNews-Hinweises Nr . 3305369 Priorität einräumen, da ein erfolgreicher Angriff potenziell alle Systeme einer Landschaft gefährden könnte. Glücklicherweise enthalten zwei der HotNews-Hinweise nur geringfügige Aktualisierungen, und SAP-Business-Client-Kunden sind durch die wiederkehrenden HotNews-Hinweise Nr. 2622660 gut darin geschult, die bereitgestellten Updates anzuwenden. SAP hat mehrere Schwachstellen behoben, indem lediglich der betroffene Bericht oder Funktionsbaustein deaktiviert wurde. Überprüfen Sie daher unbedingt Ihren eigenen benutzerdefinierten Code auf veraltete Objekte, die gelöscht werden können. Ein anfälliges Objekt stellt immer ein Sicherheitsrisiko dar – auch wenn es nicht mehr verwendet wird…
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Onapsis Research Labs aktualisiert die Platform Onapsis Research Labs mit den neuesten threat intelligence Sicherheitsempfehlungen, damit unsere Kunden den sich ständig weiterentwickelnden Bedrohungen immer einen Schritt voraus sind und ihre Unternehmen schützen können.
Weitere Informationen zu den neuesten SAP-Sicherheitsproblemen und unseren kontinuierlichen Bemühungen, Wissen mit der Sicherheits-Community zu teilen, finden Sie in unseren früheren Patch-Day-Blogbeiträgen. Abonnieren Sie außerdem unseren monatlichen „Defenders Digest“-Newsletter.