SAP-Patch-Tag: Dezember 2024
Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Dezember gehören:
- Zusammenfassung für Dezember – Es wurden dreizehn neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter eine „HotNews“-Mitteilung und vier Mitteilungen mit hoher Priorität.
- SAP-Hinweise mit hoher Priorität – Zwei neue Hinweise beheben Sicherheitslücken im Zusammenhang mit „Server-Side Request Forgery“ und „Information Disclosure“. Bei beiden Hinweisen handelt es sich um Neuauflagen vom Patch Day im November.
- Onapsis Research Labs – Unser Team hat SAP im Dezember dabei unterstützt, vier Sicherheitslücken zu beheben, die in zwei Notes behandelt wurden, darunter die einzige HotNews-Note des Monats.
SAP hat an seinem Patch Day im Dezember dreizehn SAP-Sicherheitshinweise veröffentlicht (einschließlich der Hinweise, die seit dem letzten Patch Tuesday veröffentlicht oder aktualisiert wurden). Darunter befinden sich ein HotNews-Hinweis und vier Hinweise mit hoher Priorität.
Der SAP-Sicherheitshinweis Nr. 3542543 mit einem CVSS-Schweregrad von 7,2 behebt eine Server-Side Request Forgery (SSRF)-Sicherheitslücke im SAP NetWeaver Administrator (Systemübersicht) innerhalb des AS Java-Stacks. Die Schwachstelle geht auf ein anfälliges Servlet zurück, dem angemessene Autorisierungsprüfungen fehlen, wodurch potenzielle Angreifer durch sorgfältig gestaltete HTTP-Anfragen zugängliche HTTP-Endpunkte im internen Netzwerk auflisten können. Bei erfolgreicher Ausnutzung könnte ein Angreifer einen SSRF-Angriff auslösen, der begrenzte Auswirkungen auf die Datenintegrität und -vertraulichkeit hat.
Der SAP-Sicherheitshinweis Nr . 3504390 enthält ein Update zu einer Sicherheitslücke, die ursprünglich am SAP-Patch-Day im November bekannt gegeben wurde. Die Onapsis Research Labs ORL) haben eine NULL-Pointer-Dereference-Sicherheitslücke im SAP-Kernel identifiziert, die von einem nicht authentifizierten Angreifer durch böswillig gestaltete HTTP-Anfragen ausgenutzt werden kann. Das Update erhöht insbesondere den CVSS-Schweregrad von 5,3 auf 7,5, wodurch die Risikoklassifizierung der Sicherheitslücke von „Mittel“ auf „Hoch“ angehoben wird.
Der Hinweis mit hoher Priorität Nr. 3520281 enthält eine Aktualisierung zu einer Sicherheitslücke, die ursprünglich am SAP-Patch-Day im November bekannt gegeben wurde. Das ORL hat eine Cross-Site-Scripting-Sicherheitslücke (XSS) im SAP Web Dispatcher entdeckt. Diese Aktualisierung betrifft in erster Linie den Abschnitt „Gründe und Voraussetzungen“ des ursprünglichen Hinweises; von den Kunden sind keine weiteren Maßnahmen erforderlich.
Das Neue HotNews Hinweis im Detail
Der SAP-Sicherheitshinweis Nr . 3536965 mit einem CVSS-Wert von 9,1 ist die einzige „HotNews“ im Dezember. Das ORL hat Schwachstellen in den Adobe Document Services identifiziert. Diese Schwachstellen, die unter den Kennungen CVE-2024-47578, CVE-2024-47579 und CVE-2024-47580 erfasst sind, setzen Unternehmen insgesamt dem Risiko von potenzieller Server-Side Request Forgery (SSRF), unbefugtem Dateizugriff und Offenlegung von Informationen aus.
Die schwerwiegendste Sicherheitslücke (CVE-2024-47578) weist einen kritischen CVSS-Wert von 9,1 auf und ermöglicht es einem Benutzer mit Administratorrechten, potenziell das gesamte System zu kompromittieren, Dateien zu lesen oder zu ändern und die Systemverfügbarkeit zu beeinträchtigen. Die beiden anderen Schwachstellen (CVE-2024-47579 und CVE-2024-47580) ermöglichen es authentifizierten Administratoren, PDF-bezogene Webdienste auszunutzen, um interne Serverdateien durch Manipulationstechniken zu lesen, ohne die Systemintegrität oder -verfügbarkeit zu beeinträchtigen.
Außerdem ist unter #3544926 eine FAQ zum SAP-Sicherheitshinweis verfügbar.
Das Neue High Note im Detail
Der von ORL gemeldete SAP-Sicherheitshinweis Nr. 3469791, der mit einem CVSS-Wert von 8,5 bewertet wurde, ermöglicht es einem authentifizierten Angreifer, Remote Function Call (RFC)-Anfragen zu manipulieren, wodurch er möglicherweise Anmeldedaten für Remote-Dienste abfangen und ausnutzen kann. Durch das Erstellen speziell gestalteter RFC-Anfragen an eingeschränkte Ziele können böswillige Akteure unbefugten Zugriff auf sensible Anmeldedaten für Dienste erlangen, die dann genutzt werden könnten, um den betroffenen Remote-Dienst vollständig zu kompromittieren.
Es gibt eine Abhilfe, bei der der Profilparameter„rfc/dynamic_dest_api_only = 1“festgelegt wird, wodurch das veraltete dynamische Ziel vollständig deaktiviert und der potenzielle Angriffsvektor für unbefugte RFC-Anfragen effektiv blockiert wird. Durch die Implementierung dieser Konfiguration können Administratoren vorübergehend verhindern, dass Angreifer böswillige Anfragen an eingeschränkte Ziele erstellen. Beachten Sie, dass es sich hierbei um eine vorübergehende Lösung handelt und daher der Patch angewendet werden muss, um die Sicherheitslücke vollständig zu beheben.
SAP weist darauf hin, dass diese Abhilfe dazu führen kann, dass alle Anwendungen, die ältere Ziele verwenden, nicht mehr funktionieren.
Beitrag von Onapsis
Erneut hat unser Team Onapsis Research Labs ORL) wertvolle Sicherheitslücken zu den Sicherheitshinweisen vom Dezember beigetragen. Von den dreizehn Sicherheitshinweisen stammen vier aus dem ORL. Die Liste umfasst den einzigen neuen HowNews-Hinweis mit Priorität Nr. 3536965, einen der neuen Hinweise mit hoher Priorität Nr. 3469791 sowie zwei Aktualisierungen von Hinweisen mit hoher Priorität. Für den SAP-Sicherheitshinweis Nr. 3504390 wurde der CVSS-Wert auf einen höheren Wert aktualisiert, und bei dem Hinweis Nr . 3520281 betrifft die Aktualisierung lediglich die Beschreibung.
Zusammenfassung und Schlussfolgerungen
Der SAP-Patch-Day im Dezember war erneut ein ruhiger Tag mit nur dreizehn Sicherheitshinweisen, darunter zehn neue Hinweise und drei Aktualisierungen. Wir freuen uns, dass die Onapsis Research Labs erneut dazu beitragen Onapsis Research Labs , die Sicherheit von SAP-Anwendungen zu erhöhen. SAP-Kunden können in den kommenden Monaten noch viel mehr von den ORL erwarten.
| SAP-Hinweis | Typ | Beschreibung | Priorität | CVSS |
| 3536965 | Neu | [CVE-2024-47578] Mehrere Sicherheitslücken in SAP NetWeaver AS for JAVA (Adobe Document Services)BC-SRV-FP | Aktuelles | 9.1 |
| 3520281 | Aktualisierung | [CVE-2024-47590] Cross-Site-Scripting-Sicherheitslücke (XSS) im SAP Web Dispatcher BC-CST-WDP | Hoch | 8.8 |
| 3469791 | Neu | [CVE-2024-54198] Sicherheitslücke durch Offenlegung von Informationen über Remote Function Call (RFC) im SAP NetWeaver Application Server ABAP- BC-MID-RFC | Hoch | 8.5 |
| 3504390 | Aktualisierung | [CVE-2024-47586] Sicherheitslücke durch Dereferenzierung eines NULL-Zeigers im SAP NetWeaver Application Server für ABAP und in der Platform- BC-ABA-LA | Hoch | 7.5 |
| 3542543 | Neu | [CVE-2024-54197] Serverseitige Request-Forgery in SAP NetWeaver Administrator (Systemübersicht) BC-JAS-ADM-MON | Hoch | 7.2 |
| 3351041 | Neu | [CVE-2024-47582] Sicherheitslücke bei der XML-Entitätsauswertung in SAP NetWeaver AS JAVA- BC-CCM-SLD | Mittel | 5.3 |
| 3524933 | Neu | [CVE-2024-32732] Sicherheitslücke durch Offenlegung von Informationen in platform SAP BusinessObjects Business Intelligence platform BI-BIP-SEC | Mittel | 5.3 |
| 3536361 | Neu | [CVE-2024-47585] Fehlende Autorisierungsprüfung im SAP NetWeaver Application Server für ABAP und Platform- , BC-MID-UCO | Mittel | 4.3 |
| 3515653 | Neu | Update 1 zu Sicherheitshinweis 3433545: [CVE-2024-42375] Mehrere Sicherheitslücken beim uneingeschränkten Hochladen von Dateien in Platform SAP BusinessObjects Business Intelligence Platform BI-BIP-INV | Mittel | 4.3 |
| 3433545 | Aktualisierung | [CVE-2024-42375] Mehrere Sicherheitslücken beim uneingeschränkten Hochladen von Dateien in Platform SAP BusinessObjects Business Intelligence Platform BI-BIP-INV | Mittel | 4.3 |
| 3522332 | Neu | [CVE-2024-47581] Fehlende Berechtigungsprüfung in SAP HCM (Genehmigung von Arbeitszeitblättern, Version 4) PA-FIO-TS | Mittel | 4.3 |
| 3504847 | Neu | [CVE-2024-47576] DLL-Hijacking-Sicherheitslücke in SAP Product Lifecycle Costing PLM-PLC | Niedrig | 3.3 |
| 3535451 | Neu | [CVE-2024-47577] Sicherheitslücke durch Offenlegung von Informationen in SAP Commerce Cloud CEC-SCC-COM-AS | Niedrig | 2.7 |
Wie immer Onapsis Research Labs die Onapsis Research Labs bereits Onapsis Research Labs , die Platform zu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.
Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest Onapsis“-Newsletter.
Über den Autor
Über den Autor
