SAP-Patch-Tag: April 2024
Die fehlende Überprüfung der Passwortanforderungen in SAP NetWeaver AS Java UME stellt ein hohes Risiko für die Vertraulichkeit dar
Autor: Thomas Fritsch
Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom April gehören:
- Zusammenfassung für April – Zwölf neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter drei Hinweise mit hoher Priorität
- SAP NetWeaver AS Java UME – Bei einigen Funktionen werden die Passwortanforderungen nicht überprüft
- Onapsis Research Labs – Unser Team unterstützte SAP bei der Behebung einer Server-Side Request Forgery in SAP NetWeaver AS Java
SAP hat im Rahmen seines Patch Day im April zwölf neue und aktualisierte Sicherheitshinweise veröffentlicht. Darunter befinden sich drei Hinweise mit hoher Priorität.
Die HighPriority -Notizen im Detail
Der SAP-Sicherheitshinweis Nr. 3434839, der mit einem CVSS-Wert von 8,8 versehen ist, behebt eine Sicherheitslücke aufgrund einer Fehlkonfiguration in der SAP NetWeaver AS Java User Management Engine (UME). Die Funktionen „Selbstregistrierung“ und „Eigenes Profil bearbeiten“ der UME berücksichtigen keine bestehenden Passwortanforderungen und ermöglichen daher die Verwendung einfacher Passwörter, die leicht geknackt werden können. Die beiden Funktionen sind optional und standardmäßig deaktiviert, können jedoch von jedem Kunden individuell aktiviert und konfiguriert werden. Der Titel der zugewiesenen Schwachstelle scheint etwas irreführend zu sein, da die Schwachstelle nicht durch ein Konfigurationsproblem, sondern durch eine fehlende Überprüfung in der Programmlogik verursacht wird. Onapsis empfiehlt, die Sicherheitsmaßnahme unabhängig davon zu implementieren, ob eine oder beide Funktionen aktiviert sind oder nicht. Dies gewährleistet die Sicherheit, sobald Sie sich entscheiden, eine der Funktionen zu aktivieren. Bleibt die Schwachstelle ungepatcht, kann dies zu erheblichen Auswirkungen auf die Vertraulichkeit des Systems sowie zu geringfügigen Auswirkungen auf Integrität und Verfügbarkeit führen.
Der SAP-Sicherheitshinweis Nr. 3421384, der mit einem CVSS-Wert von 7,7 versehen ist, beschreibt und behebt eine Sicherheitslücke in SAP BusinessObjects Web Intelligence, die zur Offenlegung von Informationen führen kann. Der Excel Data Access Service weist beim Hochladen von Excel-Dateien unzureichende Validierungsprüfungen auf, was dazu führen kann, dass potenziell schädliche Daten ausgelesen werden. Ein Missbrauch dieser Schwachstelle kann erhebliche Auswirkungen auf die Vertraulichkeit des Systems haben.
Der dritte Hinweis mit hoher Priorität ist der SAP-Sicherheitshinweis Nr. 3438234, der mit einem CVSS-Wert von 7,2 versehen ist. Der Hinweis behebt eine Directory-Traversal-Sicherheitslücke in zwei Programmen der SAP-Anlagenbuchhaltung. Während das Programm RAALTE00 durch den Patch lediglich deaktiviert wird, wird im zweiten anfälligen Report RAALTD01 eine Überprüfung der Pfadinformationen anhand logischer Dateinamen hinzugefügt.
Beitrag der Onapsis Research Labs
Die Onapsis Research Labs(ORL) unterstützten SAP bei der Behebung einer Server-Side Request Forgery-Sicherheitslücke in der Anwendung „tc~esi~esp~grmg~wshealthcheck~ear“ eines SAP NetWeaver AS Java. Die Sicherheitslücke, die im SAP-Sicherheitshinweis Nr . 3425188 beschrieben und mit einem CVSS-Score von 5,3 bewertet wurde, kann geringfügige Auswirkungen auf die Vertraulichkeit der Anwendung haben. Die ORL stellte fest, dass die Anwendung unter einer unzureichenden Eingabevalidierung leidet, wodurch ein nicht authentifizierter Angreifer manipulierte Anfragen von einer anfälligen Webanwendung aus senden kann, die auf interne Systeme hinter Firewalls abzielen, auf die vom externen Netzwerk aus normalerweise kein Zugriff möglich ist.
Zusammenfassung und Schlussfolgerung
Mit nur zwölf SAP-Sicherheitshinweisen, darunter drei Hinweise mit hoher Priorität, gehört der SAP-Patch-Day im April zu den „ruhigeren“ Patch-Tagen. Dies ist eine ideale Gelegenheit, um zu prüfen, ob noch SAP-Sicherheitshinweise aus den letzten SAP-Patch-Tagen ausstehen, deren Umsetzung noch nicht erfolgt ist.
| SAP-Hinweis | Typ | Beschreibung | Priorität | CVSS |
| 3434839 | Neu | [CVE-2024-27899] Sicherheitslücke aufgrund einer Fehlkonfiguration in der SAP NetWeaver AS Java User Management Engine BC-JAS-SEC-UME | Hoch | 8,8 |
| 3421384 | Neu | [CVE-2024-25646] Sicherheitslücke durch Offenlegung von Informationen in SAP BusinessObjects Web Intelligence BI-RA-WBI | Hoch | 7,7 |
| 3438234 | Neu | [CVE-2024-27901] Sicherheitslücke durch Verzeichnisüberquerung in SAP-Anlagenbuchhaltung FI-AA-AA-A | Hoch | 7,2 |
| 3442741 | Neu | Stack-Overflow-Sicherheitslücke bei den Komponenten-Images der SAP Integration Suite (EDGE INTEGRATION CELL) LOD-HCI-PI-OP-NM | Mittel | 6,8 |
| 3442378 | Neu | [CVE-2024-28167] Fehlende Berechtigungsprüfung bei der Datenerfassung für das SAP-Konzernreporting (Paketdaten eingeben) FIN-CS-CDC-DC | Mittel | 6,5 |
| 3359778 | Neu | [CVE-2024-30218] Denial-of-Service-Sicherheitslücke (DOS) in SAP NetWeaver AS ABAP und Platform BC-CST-DP | Mittel | 6,5 |
| 3164677 | Aktualisierung | [CVE-2022-29613] Sicherheitslücke durch Offenlegung von Informationen in SAP Employee Self Service (Fiori My Leave Request) PA-FIO-LEA | Mittel | 6,5 |
| 3156972 | Aktualisierung | [CVE-2023-40306] Sicherheitslücke durch URL-Umleitung in SAP S/4HANA (Katalogartikel verwalten und katalogübergreifende Suche) MM-FIO-PUR-REQ-SSP | Mittel | 6,1 |
| 3425188 | Neu | [CVE-2024-27898] Server-seitige Request-Forgery in SAP NetWeaver (tc~esi~esp~grmg~wshealthcheck~ear) BC-ESI-WS-JAV-RT | Mittel | 5,3 |
| 3421453 | Neu | [Mehrere CVEs] Cross-Site-Scripting-Schwachstellen (XSS) in SAP Business Connector BC-MID-BUS | Mittel | 4,8 |
| 3430173 | Neu | [CVE-2024-30217] Fehlende Autorisierungsprüfung in SAP S/4 HANA (Cash Management) FIN-FSCM-CLM-BAM | Mittel | 4,3 |
| 3427178 | Neu | [CVE-2024-30216] Fehlende Berechtigungsprüfung in SAP S/4 HANA (Cash Management) FIN-FSCM-CLM-BAM | Mittel | 4,3 |
Onapsis Research Labs aktualisiert die Platform Onapsis Research Labs mit den neuesten threat intelligence Sicherheitsempfehlungen, sodass Kunden den sich ständig weiterentwickelnden Bedrohungen immer einen Schritt voraus sind und ihre Unternehmen schützen können.
Wenn Sie weitere Informationen zum aktuellen SAP Patch Day, zur SAP-Sicherheit und zu unseren kontinuierlichen Bemühungen um den Wissensaustausch mit der Sicherheits-Community erhalten möchten, abonnieren Sie unseren monatlichen Newsletter „Defender’s Digest“.