SAP-Patch-Tag: Februar 2024
Onapsis Research Labs SAP bei der Behebung einer kritischen Code-Injection-Sicherheitslücke in SAP Application Basis (SAP_ABA)
Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Februar gehören:
- Zusammenfassung für Februar — Sechzehn neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter zwei HotNews- Hinweise und sechs Hinweise mit hoher Priorität.
- Kritische Sicherheitslücke durch Code-Injektion — RFC-fähiger Funktionsbaustein ermöglicht generische Methodenaufrufe.
- Onapsis Research Labs — Unser Team hat SAP bei der Behebung eines HotNews- und eines High-Priority- Problems unterstützt.
SAP hat an seinem Patch Day im Februar sechzehn SAP-Sicherheitshinweise veröffentlicht (einschließlich der Hinweise, die seit dem letzten Patch Tuesday veröffentlicht oder aktualisiert wurden). Darunter befinden sich „ “, zwei „HotNews“-Hinweise und sechsHinweise mit hoher Priorität.
Einer der beiden HotNews-Hinweise im Februar ist der regelmäßig erscheinende SAP-Sicherheitshinweis Nr. 2622660, der die neuesten Chromium-Sicherheitslücken für den SAP Business Client behebt. Er behebt 33 Chromium-Sicherheitslücken, darunter 26 Patches mit hoher Priorität. Der maximale CVSS-Wert aller behobenen Sicherheitslücken beträgt 8,8.
Der Hinweis mit hoher Priorität Nr. 3385711, der mit einem CVSS-Wert von 7,3 versehen ist, behebt eine Sicherheitslücke im SAP NetWeaver Application Server ABAP, die zur Offenlegung von Informationen führen kann. Der Hinweis wurde ursprünglich im Dezember 2023 veröffentlicht und am Patch Day im Februar dieses Jahres aktualisiert. Das Update enthält genauere Informationen zu der behobenen Sicherheitslücke.
Die neue HotNews -Notiz im Detail
Der SAP-Sicherheitshinweis Nr. 3420923 mit einem CVSS-Wert von 9,1 ist der einzige neue „HotNews“-Hinweis. Er behebt eine kritische Code-Injection-Sicherheitslücke in der anwendungsübergreifenden Komponente SAP_ABA.
Die Onapsis Research Labs haben festgestellt, dass die Web-Survey-Funktion in SAP einen RFC-fähigen Funktionsbaustein bereitstellt, der den dynamischen Aufruf beliebiger statischer Methoden des Systems ermöglicht, ohne dass eine spezifische Berechtigung geprüft wird. Ein externer Aufruf des Funktionsbausteins wird lediglich durch die implizite S_RFC-Prüfung geschützt. Der Hinweis behebt diese Schwachstelle, indem er eine zusätzliche (konfigurierbare) Prüfung vorsieht, sobald der Funktionsbaustein von außen aufgerufen wird. Diese neue Prüfung ist standardmäßig aktiviert und lässt keine externen Aufrufe des Funktionsbausteins zu. Wenn Kunden die Remote-Funktionen der Web-Survey-Funktion nutzen möchten, können sie die Konfiguration der Prüfung anpassen. Details zur Konfiguration finden Sie im Knowledge-Base-Artikel Nr. 3415038.
Die neuen Notizen mit hoher Priorität im Detail
Der SAP-Sicherheitshinweis Nr. 3417627, der mit einem CVSS-Wert von 8,8 bewertet wurde, behebt eine Cross-Site-Scripting-Sicherheitslücke in der User-Admin-Anwendung von SAP NetWeaver AS Java. Eingehende URL-Parameter werden vor ihrer Einbindung in Weiterleitungs-URLs nicht ausreichend validiert und nicht ordnungsgemäß kodiert. Dies kann zu einer Cross-Site-Scripting-Sicherheitslücke (XSS) führen, die erhebliche Auswirkungen auf die Vertraulichkeit sowie geringfügige Auswirkungen auf die Integrität und Verfügbarkeit hat.
Der SAP-Sicherheitshinweis Nr. 3426111, der mit einem CVSS-Wert von 8,6 bewertet wurde, ist der zweite Hinweis des SAP-Patch-Days im Februar, der in Zusammenarbeit mit den Onapsis Research Labs ORL) behoben wurde . Der Hinweis behebt eine Sicherheitslücke durch XML-External-Entity-Injection (XEE) in der Komponente „Guided Procedures“ von SAP NetWeaver AS Java. Die Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer, über das Netzwerk eine böswillige Anfrage mit einer manipulierten XML-Datei zu senden, die ihm nach dem Parsen Lesezugriff auf sensible Dateien und Daten verschafft. Der Patch enthält eine restriktivere Konfiguration des betroffenen XML-Parsers, die keine externen Entitäten als Teil eines eingehenden XML-Dokuments zulässt. Wird diese Schwachstelle nicht behoben, ist die Vertraulichkeit des Systems einem hohen Risiko ausgesetzt.
Eine Cross-Site-Scripting-Sicherheitslücke wurde mit dem SAP-Sicherheitsbericht Nr. 3410875 behoben, der mit einem CVSS-Wert von 7,6 bewertet wurde. Die Sicherheitslücke besteht in der Option „Druckvorschau“ der SAP-CRM-WebClient-Benutzeroberfläche und wird durch eine unzureichende Kodierung benutzergesteuerter Eingaben verursacht. Ein Angreifer mit geringen Berechtigungen kann nach erfolgreicher Ausnutzung der Sicherheitslücke begrenzte Auswirkungen auf die Vertraulichkeit und Integrität der Anwendungsdaten verursachen.
Der Hinweis mit hoher Priorität Nr. 3424610, der mit einem CVSS-Wert von 7,4 versehen ist, behebt eine Sicherheitslücke im SAP Cloud , die auf einer fehlerhaften Zertifikatsvalidierung beruht. Die Sicherheitslücke ermöglicht es einem Angreifer, sich als Server auszugeben, die mit dem cloud interagieren, und so die gegenseitige Authentifizierung zu umgehen. Bei einer erfolgreichen Ausnutzung kann ein Angreifer Anfragen abfangen, um sensible Informationen einzusehen und zu verändern, was erhebliche Auswirkungen auf die Vertraulichkeit und Integrität des Systems hat.
Der SAP-Sicherheitshinweis Nr. 3421659, der mit einem CVSS-Wert von 7,4 bewertet wurde, betrifft ausschließlich SAP-IDES-Systeme. Der Patch entfernt ein Programm, das die Ausführung von beliebigem Programmcode ermöglicht. Ein Angreifer kann dieses Programm nutzen, um durch die Ausführung von Schadcode control Verhalten des Systems control .
Rückmeldung zum Onapsis-Blogbeitrag zum Patch Day im Januar
In meinem Blogbeitrag vom Januar schrieb ich über den SAP-Sicherheitshinweis Nr. 3407617 und führte Folgendes an:
„Es ist möglich, dass wir in naher Zukunft mit einer Aktualisierung dieses Hinweises rechnen können, da die Lösung unvollständig zu sein scheint.“
Wir hatten Gelegenheit, die Hintergründe dieses speziellen Hinweises mit dem SAP Product Security Response Team und dem zuständigen Entwickler zu klären. Diese haben die Gründe transparent dargelegt und erklärt, dass der Patch keine Code-Korrektur beinhaltet. Daher ist keine Aktualisierung des Hinweises erforderlich. Aus Sicherheitsgründen haben sie in der Sicherheitsmitteilung nicht dieselben detaillierten Informationen bereitgestellt.
Zusammenfassung und Schlussfolgerungen
Mit sechzehn Sicherheitshinweisen war der SAP-Patch-Day im Februar eher durchschnittlich. Die Onapsis Research Labs SAP erneut dabei unterstützen, zwei der kritischsten Sicherheitslücken dieses Patch-Days zu beheben. Ein besonderer Dank gilt dem SAP Product Response Team, das uns dabei geholfen hat, den Hintergrund des SAP-Sicherheitshinweises Nr. 3407617 zu klären.
| SAP-Hinweis | Typ | Beschreibung | Priorität | CVSS |
| 3404025 | Neu | [CVE-2024-22129] Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP Companion KM-SEN-CMP | Mittel | 5,4 |
| 2897391 | Neu | [CVE-2024-24741] Fehlende Berechtigungsprüfung in SAP Master Data Governance Material , CA-MDG-APP-MM | Mittel | 4,3 |
| 3417627 | Neu | [CVE-2024-22126] Cross-Site-Scripting-Sicherheitslücke in NetWeaver AS Java (User Admin Application) BC-JAS-SEC-UME | Hoch | 8,8 |
| 3410875 | Neu | [CVE-2024-22130] Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP CRM (WebClient-Benutzeroberfläche) CA-WUI-UI | Hoch | 7,6 |
| 3396109 | Neu | [CVE-2024-22128] Cross-Site-Scripting-Sicherheitslücke (XSS) im SAP NetWeaver Business Client für HTML BC-FES-BUS | Mittel | 4,7 |
| 3158455 | Neu | [CVE-2024-24742] Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP CRM (WebClient-Benutzeroberfläche) CA-WUI-WKB | Mittel | 4,1 |
| 2637727 | Neu | [CVE-2024-24739] Fehlende Berechtigungsprüfung in der SAP-Bankkontenverwaltung FIN-FSCM-CLM | Mittel | 6,3 |
| 3360827 | Neu | [CVE-2024-24740] Sicherheitslücke durch Offenlegung von Informationen in SAP NetWeaver Application Server ABAP (SAP-Kernel) BC-FES-ITS | Mittel | 5,3 |
| 3421659 | Neu | [CVE-2024-22132] Sicherheitslücke durch Code-Injektion in SAP-IDES-Systemen XX-IDES | Hoch | 7,4 |
| 3420923 | Neu | [CVE-2024-22131] Sicherheitslücke durch Code-Injektion in SAP ABA (Application Basis) CA-SUR | Aktuelles | 9,1 |
| 3237638 | Neu | [CVE-2024-25643] Fehlende Berechtigungsprüfung in der SAP-Fiori-App („Meine Überstundenanträge“) PA-FIO-OVT | Mittel | 4,3 |
| 2622660 | Aktualisierung | Sicherheitsupdates für das control Chromium“, das mit dem SAP Business Client BC-FES-BUS-DSK ausgeliefert wird | Aktuelles | 10,0 |
| 3426111 | Neu | [CVE-2024-24743] XXE-Sicherheitslücke in SAP NetWeaver AS Java (Guided Procedures) BC-GP | Hoch | 8,6 |
| 3424610 | Neu | [CVE-2024-25642] Fehlerhafte Zertifikatsprüfung im SAP Cloud BC-MID-SCC | Hoch | 7,4 |
| 3385711 | Aktualisierung | [CVE-2023-49580] Sicherheitslücke mit Informationspreisgabe im SAP NetWeaver Application ServerABAP- , BC-FES-WGU | Hoch | 7,3 |
| 3363690 | Aktualisierung | [CVE-2023-49058] Verzeichnisüberquerungs-Sicherheitslücke im SAP Master Data Governance- us CA-MDG-ML | Niedrig | 3,5 |
Wie immer Onapsis Research Labs bereits Onapsis Research Labs , die Platform zu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.
Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defenders Digest“.