SAP-Patch-Tag: August 2024
Von einer bekannten Node.js-Sicherheitslücke betroffene SAP Build Apps-Anwendungen
Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom August gehören:
- Zusammenfassung für August – Es wurden 25 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter zwei HotNews-Hinweise und vier Hinweise mit hoher Priorität.
- Sicherheitslücke in Node.js — Mit SAP Build Apps erstellte Anwendungen müssen neu kompiliert werden
- Onapsis Research Labs – Unser Team hat SAP dabei unterstützt, sieben Sicherheitslücken zu beheben, die in sechs SAP-Sicherheitshinweisen behandelt wurden, darunter ein Hinweis mit hoher Priorität.
SAP hat an seinem Patch Day im August 25 SAP-Sicherheitshinweise veröffentlicht (einschließlich der Hinweise, die seit dem letzten Patch Tuesday veröffentlicht oder aktualisiert wurden). Darunter befinden sich zwei HotNews-Hinweise und vier Hinweise mit hoher Priorität.
Der SAP-Sicherheitshinweis Nr. 3423268 mit einem CVSS-Wert von 7,8 wurde am 23. Juli veröffentlicht. SAP S/4 HANA (Manage Supply Protection) nutzt die Open-Source-Bibliothek SheetJS, die in Versionen unter 0.19.3 für die Sicherheitslücke CVE-2023-30533 anfällig ist. Der Hinweis enthält einen Patch, der die Version 0.20.1 der betroffenen Bibliothek umfasst. Bleibt die Anwendung ungepatcht, sind die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung einem hohen Risiko ausgesetzt.
Der Hinweis mit hoher Priorität Nr. 3460407, der mit einem CVSS-Score von 7,5 versehen ist, behebt eine Sicherheitslücke durch Informationsoffenlegung in SAP NetWeaver AS Java (Meta Model Repository). Der Hinweis wurde ursprünglich im Juni 2024 veröffentlicht und am 25. Juli aktualisiert. SAP stellt nun Korrekturen für zwei weitere Support-Package-Level (SP022 und SP023) der anfälligen MMR_SERVER-Komponente bereit.
Die neuen HotNews -Notizen im Detail
Der SAP-Sicherheitshinweis Nr. 3479478, der mit einem CVSS-Wert von 9,8 bewertet wurde, behebt eine Sicherheitslücke in SAP BusinessObjects Business Intelligence, die aufeiner fehlenden Authentifizierungsprüfungberuht. Ist die Single-Sign-On-Enterprise-Authentifizierung aktiviert, kann ein unbefugter Benutzer über einen REST-Endpunkt ein Anmeldetoken abrufen. Der Angreifer kann das System vollständig kompromittieren, was erhebliche Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit hat.
Der SAP-Sicherheitshinweis Nr. 3477196, der mit einem CVSS-Wert von 9,1 versehen ist, betrifft alle Anwendungen, die in SAP Build Apps unter Verwendung einer Version der Node.js-Bibliothek erstellt wurden, die für die Sicherheitslücke CVE-2024-29415 anfällig ist. SAP empfiehlt, die Anwendungen mit SAP Build Apps Version 4.11.130 oder höher neu zu erstellen. Andernfalls besteht für betroffene Anwendungen ein hohes Risiko hinsichtlich Vertraulichkeit und Integrität.
Die neuen Notizen mit hoher Priorität im Detail
Die Onapsis Research Labs ORL) unterstützten SAP bei der Behebung einer Sicherheitslücke mit hoher Priorität im SAP BEx Web Java Runtime Export Web Service. Das ORL-Team stellte fest, dass Dokumente aus nicht vertrauenswürdigen Quellen unzureichend validiert werden. Dies ermöglicht es einem Angreifer, Informationen aus dem SAP-ADS-System abzurufen und die Anzahl der XMLForm-Dienste auszuschöpfen, wodurch die SAP-ADS-Rendering-Funktion (PDF-Erstellung) nicht mehr verfügbar ist. Der SAP-Sicherheitshinweis Nr. 3485284, der mit einem CVSS-Score von 8,2 versehen ist, enthält einen Patch für SAP NW 7.50 BI JAVA, der einen aktualisierten XML-Parser umfasst.
Der SAP-Sicherheitshinweis Nr. 3459935, der mit einem CVSS-Wert von 7,4 bewertet wurde, befasst sich mit einer Reihe anfälliger OCC-API-Endpunkte in Cloud SAP Commerce Cloud. Diese ermöglichen es, personenbezogene Daten (PII) wie Passwörter, E-Mail-Adressen, Handynummern, Gutscheincodes und Rabattcodes als Abfrage- oder Pfadparameter in die Anfrage-URL einzufügen. Da URL-Parameter in Anforderungsprotokollen offengelegt werden, ist die Übertragung solcher vertraulichen Daten über Abfrage- und Pfadparameter anfällig für Datenlecks.
Der Hinweis enthält separate Listen für Endpunkte, die personenbezogene Daten als Abfrageparameter oder als Pfadparameter enthalten.
Für die Endpunkte der ersten Liste gibt es eine Umgehungslösung. Der clientseitige Code, der die betroffenen OCC-API-Endpunkte nutzt, muss angepasst werden. Die vertraulichen Daten können über Parameter im Request-Body übergeben werden, anstatt URL-Abfrageparameter zu verwenden.
Da diese Option jedoch nur für eine Gruppe der betroffenen Endpunkte verfügbar ist und Workarounds stets als vorübergehende Lösung betrachtet werden sollten, sollten Kunden den entsprechenden Patch so bald wie möglich installieren. Der Patch stellt neue Varianten aller betroffenen Endpunkte bereit, die personenbezogene Daten stets über Parameter im Request-Body übermitteln. Die alten, anfälligen Endpunkte sind veraltet.
Nach der Installation des Patches sollten alle Clients so angepasst werden, dass sie die neuen, sicheren Varianten der betroffenen OCC-API-Endpunkte anstelle der alten, anfälligen Endpunkte nutzen.
Beitrag von Onapsis
Das ORL-Team unterstützte SAP beim Beheben von sieben Sicherheitslücken am August-Patch-Day, die in sechs SAP-Sicherheitshinweisen behandelt wurden, darunter der Hinweis mit hoher Priorität Nr . 3485284.
Der SAP-Sicherheitshinweis Nr. 3474590, der mit einem CVSS-Wert von 6,5 versehen ist, behebt zwei Sicherheitslücken im SAP Shared Service Framework, die auf fehlende Berechtigungsprüfungen zurückzuführen sind und unter den CVE-Nummern CVE-2024-42376 und CVE-2024-42377 erfasst sind. Zwei remote-fähige Funktionsbausteine des Frameworks weisen fehlende Autorisierungsprüfungen auf. Dies kann zu einer Rechteausweitung oder einer unbefugten Bearbeitung nicht sensibler Tabellendaten führen, was erhebliche Auswirkungen auf die Vertraulichkeit und geringfügige Auswirkungen auf die Integrität der Anwendung hat.
Der SAP-Sicherheitshinweis Nr. 3487537, der mit einem CVSS-Wert von 5,0 versehen ist, behebt eine Server-Side-Request-Forgery-Sicherheitslücke in SAP CRM ABAP (Insights Management). Die Schwachstelle ermöglicht es einem authentifizierten Angreifer, durch speziell gestaltete HTTP-Anfragen HTTP-Endpunkte im internen Netzwerk aufzulisten, was zur Offenlegung von Informationen führt. Der Patch deaktiviert den betroffenen ABAP-Code, empfiehlt jedoch zusätzlich, den entsprechenden Dienst manuell zu deaktivieren. Letzteres kann auch als vorübergehende Abhilfe dienen, bis der Patch implementiert werden kann.
Der SAP-Sicherheitshinweis Nr. 3468102, der mit einem CVSS-Wert von 4,7 bewertet wurde, beschreibt Control im Zusammenhang mit Control unzureichenden Control im SAP NetWeaver Application Server ABAP. Dem ORL-Team gelang es, CSS-Code und Links in eine Webanwendung einzuschleusen, indem es als nicht authentifizierter Angreifer manipulierte URL-Anfragen versendete. Der Patch enthält eine verbesserte Whitelist-Prüfung, die ordnungsgemäß zwischen relativen und absoluten URLs unterscheidet.
Eine Sicherheitslücke aufgrund einer fehlenden Berechtigungsprüfung in SAP Student LifeCycle Management (SLcM) wird durch den SAP-Sicherheitshinweis Nr . 3479293 behoben, der mit einem CVSS-Wert von 4,3 bewertet ist. Bei erfolgreicher Ausnutzung könnten nicht sensible Berichtsvarianten gelöscht werden, was zu geringen Auswirkungen auf die Integrität der Anwendung führen könnte. Als Teil der Lösung hat SAP eine zuschaltbare Autorisierungsprüfung in den betroffenen RFC-fähigen Funktionsbaustein implementiert. Die Prüfung wird nur bei externen Aufrufen des Funktionsbausteins aktiv.
Eine weitere Schwachstelle durch fehlende Autorisierungsprüfung wurde mit dem SAP-Sicherheitshinweis Nr. 3477423 behoben, der mit einem CVSS-Score von 4,3 bewertet wurde. Die Schwachstelle betrifft den SAP Document Builder und wird durch Hinzufügen einer zusätzlichen Autorisierungsprüfung zum entsprechenden remote-fähigen Funktionsbaustein behoben.
Zusammenfassung und Schlussfolgerungen
Mit 25 Sicherheitshinweisen liegt der SAP-Patch-Day im August über dem Durchschnitt. Besondere Aufmerksamkeit erfordert der SAP-Sicherheitshinweis Nr. 3477196, da dessen Umsetzung je nach Anzahl der betroffenen Anwendungen einen gewissen Aufwand erfordern könnte. Die Onapsis Research Labs SAP erneut dabei unterstützen, eine Schwachstelle mit hoher Priorität und sechs Schwachstellen mit mittlerer Priorität zu beheben.
| SAP-Hinweis | Typ | Beschreibung | Priorität | CVSS |
| 3479478 | Neu | [CVE-2024-41730] Fehlende Authentifizierungsprüfung in SAP BusinessObjects Business Intelligence Platform BI-BIP-INV | Aktuelles | 9,8 |
| 3477196 | Neu | [CVE-2024-29415] Server-Side Request Forgery-Sicherheitslücke in Anwendungen, die mit SAP Build Apps erstellt wurden CA-LCA-ACP | Aktuelles | 9,1 |
| 3485284 | Neu | [CVE-2024-42374] XML-Injektion im SAP BEx Web Java Runtime Export Web Service BW-BEX-ET-WJR-EXP | Hoch | 8,2 |
| 3423268 | Neu | [CVE-2023-30533] Prototyp-Verunreinigung in SAP S/4 HANA (Manage Supply Protection) CA-ATP-SUP-2CL | Hoch | 7,8 |
| 3460407 | Aktualisierung | [CVE-2024-34688] Denial-of-Service (DoS) in SAP NetWeaver AS Java (Meta Model Repository) BC-DWB-JAV-MMR | Hoch | 7,5 |
| 3459935 | Neu | [CVE-2024-33003] Sicherheitslücke durch Offenlegung von Informationen in SAP Commerce Cloud CEC-COM-CPS-COR | Hoch | 7,4 |
| 3466801 | Aktualisierung | [CVE-2024-39593] Sicherheitslücke durch Offenlegung von Informationen in der SAP-Landschaftsverwaltung BC-VCM-LVM | Mittel | 6,9 |
| 3459379 | Aktualisierung | [CVE-2024-34683] Uneingeschränkter Datei-Upload im SAP Document Builder (HTTP-Dienst) CA-GTF-DOB | Mittel | 6,5 |
| 3495876 | Neu | [Mehrere CVEs] Mehrere Sicherheitslücken im SAP Replication Server (FOSS) BC-SYB-REP | Mittel | 6,5 |
| 3474590 | Neu | [CVE-2024-42376] Mehrere Sicherheitslücken durch fehlende Autorisierungsprüfungen im SAP Shared Service Framework CA-EPT-SSC | Mittel | 6,5 |
| 3438085 | Neu | [CVE-2024-33005] Fehlende Autorisierungsprüfung im SAP NetWeaver Application Server (ABAP und Java), im SAP Web Dispatcher und im SAP Content Server. BC-CST-IC | Mittel | 6,3 |
| 3482217 | Aktualisierung | [CVE-2024-39594] Mehrere Cross-Site-Scripting-Schwachstellen (XSS) in SAP Business Warehouse – Business Planning and Simulation BW-PLA-BPS | Mittel | 6,1 |
| 3465455 | Aktualisierung | [CVE-2024-37176] Fehlende Autorisierungsprüfung in SAP BW/4HANA-Transformations- und DTP- BW4-DM-TRFN | Mittel | 5,5 |
| 3483256 | Neu | [CVE-2024-41735] Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP Commerce Backoffice CEC-SCC-CDM-BO-FRW | Mittel | 5,4 |
| 3471450 | Neu | [CVE-2024-41733] Sicherheitslücke mit Offenlegung von Informationen in SAP Commerce CEC-SCC-COM-BC-BCOM | Mittel | 5,3 |
| 3458789 | Aktualisierung | [CVE-2024-34689] Serverseitige Request-Forgery in SAP Business Workflow (WebFlow Services) BC-BMT-WFM | Mittel | 5,0 |
| 3487537 | Neu | [CVE-2024-41737] Server-Side Request Forgery (SSRF) in SAP CRM ABAP (Insights Management) CRM-MKT | Mittel | 5,0 |
| 3468102 | Neu | [CVE-2024-41732] Unzureichende Control SAP NetWeaver Application Server,ABAP- , BC-FES-BUS-RUN | Mittel | 4,7 |
| 3150704 | Aktualisierung | [CVE-2023-0023] Offenlegung von Informationen in der SAP-Bankkontenverwaltung (Manage Banks) FIN-FSCM-CLM-BAM | Mittel | 4,5 |
| 3479293 | Neu | [CVE-2024-42373] Fehlende Berechtigungsprüfung im SAP Student LifeCycle Management (SLcM) IS-HER-CM-AD | Mittel | 4,3 |
| 3475427 | Neu | [CVE-2024-41736] Sicherheitslücke durch Offenlegung von Informationen im SAP-Arbeitsgenehmigungs- us PM-FIO-WCM | Mittel | 4,3 |
| 3433545 | Neu | [CVE-2024-42375] Mehrere Sicherheitslücken beim uneingeschränkten Hochladen von Dateien in Platform SAP BusinessObjects Business Intelligence Platform BI-BIP-INV | Mittel | 4,3 |
| 3477423 | Neu | [CVE-2024-39591] Fehlende Berechtigungsprüfung im SAP Document Builder CA-GTF-DOB | Mittel | 4,3 |
| 3494349 | Neu | [CVE-2024-41734] Fehlende Autorisierungsprüfung in SAP NetWeaver Application Server ABAP und Platform- BC-SRV-LIM | Mittel | 4,3 |
| 3454858 | Aktualisierung | [CVE-2024-37180] Sicherheitslücke durch Offenlegung von Informationen im SAP NetWeaver Application Server für ABAP und in der Platform- BC-SRV-DX-DXW | Mittel | 4,1 |
Wie immer Onapsis Research Labs bereits Onapsis Research Labs , die Onapsis Platform zu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.
Wenn Sie weitere Informationen zu den neuesten SAP-Sicherheitsproblemen und unseren kontinuierlichen Bemühungen um den Wissensaustausch mit der Sicherheits-Community erhalten möchten, abonnieren Sie unseren monatlichen Onapsis-Newsletter „Defender’s Digest“.