SAP-Patch-Tag: Juli 2024
Patches mit hoher Priorität für SAP PDCE und SAP Commerce
Autor: Thomas Fritsch
Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Juli gehören:
- Zusammenfassung für Juli – Es wurden 18 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter zwei Hinweise mit hoher Priorität.
- SAP Business Workflow (WebFlow Services) — Um eine Server-Side Request Forgery-Sicherheitslücke zu beheben , müssen drei SAP-Sicherheitshinweise implementiert werden.
- Onapsis Research Labs – Unser Team hat SAP dabei unterstützt, zwölf Sicherheitslücken zu beheben, die in zehn SAP-Sicherheitshinweisen behandelt wurden.
SAP hat an seinem Patch Day im Juli achtzehn SAP-Sicherheitshinweise veröffentlicht (einschließlich der Hinweise, die seit dem letzten Patch Tuesday veröffentlicht oder aktualisiert wurden). Darunter befinden sich zwei Hinweise mit hoher Priorität.
Die neuen Notizen mit hoher Priorität im Detail für den SAP-Patch-Day im Juli 2024
Der SAP-Sicherheitshinweis Nr . 3483344 mit einem CVSS-Wert von 7,7 ist gemessen an der CVSS-Bewertung der kritischste Patch des heutigen Patch Day im Juli. Die Onapsis Research Labs ORL) haben eine Schwachstelle aufgrund fehlender Autorisierungsprüfungen in SAP Product Design Cost Estimating (SAP PDCE) entdeckt , das auf SAP Strategic Enterprise Management (SEM) basiert. Ein remote-fähiges Funktionsmodul in SAP PDCE ermöglicht es einem Angreifer, generische Tabellendaten aus der Ferne auszulesen, und stellt somit ein hohes Risiko für die Vertraulichkeit des Systems dar. Der Patch deaktiviert das anfällige Funktionsmodul.
Der SAP-Sicherheitshinweis Nr. 3490515, der mit einem CVSS-Wert von 7,2 versehen ist, behandelt eine Sicherheitslücke aufgrund einer fehlerhaften Autorisierungsprüfung in SAP Commerce (On-Premise und Public Cloud). Ein Angreifer kann die Funktion „Passwort vergessen“ missbrauchen, um Zugriff auf eine Website zu erlangen, für die die Funktionen „Early Login“ und „Registrierung“ aktiviert sind, ohne dass der Händler das Konto zuvor genehmigen muss. Ist die Website nicht als isolierte Website konfiguriert, kann dies auch Zugriff auf andere nicht isolierte „Early Login“-Websites gewähren, selbst wenn die Registrierung für diese anderen Websites nicht aktiviert ist. SAP stuft die möglichen Auswirkungen dieser Schwachstelle auf die Vertraulichkeit und Integrität der Anwendung als „gering“ ein und sieht keine Auswirkungen auf deren Verfügbarkeit. Als vorübergehende Abhilfe empfiehlt SAP, die Registrierung für betroffene isolierte Composable Storefront B2B-Websites sowie für alle nicht isolierten Composable Storefront B2B-Websites zu deaktivieren, sofern die Funktion „Early Login“ auf mindestens einer dieser nicht isolierten Websites aktiviert ist.
Beitrag von Onapsis zum SAP Patch Day Juli 2024
Erneut konnten die Onapsis Research Labs ORL) einen wesentlichen Beitrag zum SAP Patch Day leisten. Das Team unterstützte SAP bei der Behebung von zwölf Sicherheitslücken, die in zehn SAP-Sicherheitshinweisen behandelt wurden.
Das ORL hat mehrere Cross-Site-Scripting-Schwachstellen (XSS) in folgenden Bereichen entdeckt:
- SAP Business Warehouse (SAP BW) (SAP-Sicherheitshinweis Nr . 3482217)
- SAP NetWeaver Knowledge Management (SAP-Sicherheitshinweis Nr . 3468681)
- SAP CRM (WebClient-Benutzeroberfläche) (SAP-Sicherheitshinweis Nr . 3467377)
Der SAP-Sicherheitshinweis Nr. 3482217 behebt eine Reflected-XSS-Sicherheitslücke (CVSS-Bewertung 6,1) und eine Stored-XSS-Sicherheitslücke (CVSS-Bewertung 5,4) in SAP BW Business Planning and Simulation. Beide haben nur geringe Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung und keine Auswirkungen auf deren Verfügbarkeit.
Der SAP-Sicherheitshinweis Nr. 3468681, der mit einem CVSS-Wert von 6,1 versehen ist, betrifft den XMLEditor in SAP NetWeaver Knowledge Management. Aufgrund unzureichender Kodierung von benutzergesteuerten Eingaben ermöglicht der XMLEditor die Ausführung bösartiger Skripte in der Anwendung.
Der SAP-Sicherheitshinweis Nr. 3467377 ist ein Sammelhinweis für SAP CRM (WebClient-Benutzeroberfläche), der insgesamt vier Sicherheitslücken behebt. Neben zwei Reflected-XSS-Schwachstellen, die beide mit einem CVSS-Score von 6,1 bewertet sind, behebt er außerdem eine Server-Side-Request-Forgery-Schwachstelle (CVSS-Score 5,0) und eine Schwachstelle aufgrund fehlender Autorisierungsprüfung (CVSS-Score 4,3).
Das ORL hat außerdem eine Schwachstelle im Zusammenhang mit serverseitiger Request-Forgery (SSRF) in SAP Business Workflow (WebFlow Services) entdeckt, die mit einem CVSS-Wert von 5,0 bewertet wurde. Diese ermöglicht es einem authentifizierten Angreifer, durch speziell gestaltete HTTP-Anfragen alle zugänglichen HTTP-Endpunkte im internen Netzwerk zu ermitteln.
Nach der Installation des Patches können die Callback-URLs von WebFlow-Diensten anhand einer Zulassungsliste überprüft werden, sodass nur ausdrücklich zugelassene URLs verarbeitet werden.
Das Patch-Paket enthält insgesamt drei SAP-Sicherheitshinweise, die in der folgenden Reihenfolge installiert werden müssen:
- SAP-Sicherheitshinweis Nr. 3483993: Dieser Hinweis ist eine Voraussetzung für den SAP-Sicherheitshinweis Nr. 3458789. Er enthält den Report NOTE_3483993, der ausgeführt werden muss, um bestimmte Objekte zu generieren, die für die erfolgreiche Umsetzung von Nr. 3458789 in Schritt 2 erforderlich sind.
- SAP-Sicherheitshinweis Nr . 3458789: Dieser Hinweis implementiert die Zulassungsliste für Callback-URLs von WebFlow-Diensten.
- SAP-Sicherheitshinweis Nr . 3485805: In diesem Hinweis wird erläutert, wie die Whitelist für Callback-URLs von WebFlow-Services konfiguriert und aktiviert wird.
Das ORL hat eine weitere Sicherheitslücke im Zusammenhang mit Server-Side Request Forgery im SAP Transportation Management (Collaboration Portal) entdeckt. Diese wurde mit dem SAP-Sicherheitshinweis Nr . 3469958 behoben und mit einem CVSS-Wert von 5,0 bewertet. SAP hat den betroffenen Service-Handler so angepasst, dass er keine nicht vertrauenswürdigen Eingaben akzeptiert. Ohne diesen Patch können Angreifer mit nicht-administrativen Berechtigungen eine manipulierte Anfrage von einer anfälligen Webanwendung aus senden. Dies veranlasst den anfälligen Anwendungshandler, eine Anfrage an einen unbeabsichtigten Dienst zu senden, wodurch Informationen über diesen Dienst preisgegeben werden können.
Das ORL stellte zudem fest, dass eine zentrale Methode der Malware-Scanner-API von SAP so aufgerufen werden kann, dass die Virenprüfung umgangen wird. Ein Angreifer könnte diese Möglichkeit missbrauchen, um die Virenprüfung unbemerkt an etablierten Qualitäts- und Sicherheitskontrollen vorbei zu umgehen. Auch ein ahnungsloser Entwickler könnte damit versehentlich eine Hintertür öffnen, ohne es zu bemerken. Das Problem wurde mit dem SAP-Sicherheitshinweis Nr. 3456952 behoben, der mit einem CVSS-Wert von 4,7 bewertet wurde. Betrachtet man die potenziellen Auswirkungen der Einschleusung von Viren in eine SAP-Landschaft, so erfasst der zugewiesene CVSS-Score möglicherweise nicht vollständig das Worst-Case-Szenario.
Eine Schwachstelle hinsichtlich der Offenlegung von Informationen im SAP NetWeaver Application Server für ABAP und Platform mit dem SAP-Sicherheitshinweis Nr . 3454858 behoben, der mit einem CVSS-Score von 4,1 versehen ist. Ein remote-fähiger Funktionsbaustein, der eigentlich nur den Zugriff auf Verzeichnisse der DX Workbench zulassen sollte, ermöglicht den Zugriff auf beliebige andere Systemverzeichnisse (Directory Traversal). Der Patch behebt das Problem, indem er nur Dateien und Verzeichnisse zulässt, für die eine logische Datei- und Pfaddefinition in der Transaktion FILE existiert.
Zusammenfassung und Schlussfolgerungen zum SAP Patch Day
Mit achtzehn Sicherheitshinweisen war der SAP-Patch-Day im Juli ein weiterer durchschnittlicher Tag. Da es keinen „HotNews“-Hinweis gab und nur zwei Hinweise mit hoher Priorität, kann man ihn sogar als ruhig bezeichnen. Die Onapsis Research Labs SAP erneut dabei unterstützen, zwölf Sicherheitslücken dieses Patch-Days zu beheben.
| SAP-Hinweis | Typ | Beschreibung | Priorität | CVSS |
| 3483344 | Neu | [CVE-2024-39592] Fehlende Autorisierungsprüfung in der SAP-PDCE- -FIN-BA | Hoch | 7,7 |
| 3490515 | Neu | [CVE-2024-39597] Unzureichende Autorisierungsprüfungen bei der frühen Anmeldung auf Composable Storefront-B2B-Websites von SAP Commerce CEC-SCC-COM-BC-CS | Hoch | 7,2 |
| 3466801 | Neu | [CVE-2024-39593] Sicherheitslücke durch Offenlegung von Informationen in der SAP-Landschaftsverwaltung BC-VCM-LVM | Mittel | 6,9 |
| 3459379 | Aktualisierung | [CVE-2024-34683] Uneingeschränkter Datei-Upload im SAP Document Builder (HTTP-Dienst) CA-GTF-DOB | Mittel | 6,5 |
| 3467377 | Neu | [Mehrere CVEs] Mehrere Sicherheitslücken in SAP CRM (WebClient-Benutzeroberfläche) CA-WUI-UI | Mittel | 6,1 |
| 3482217 | Neu | [CVE-2024-39594] Mehrere Cross-Site-Scripting-Schwachstellen (XSS) in SAP Business Warehouse – Business Planning and Simulation BW-PLA-BPS | Mittel | 6,1 |
| 3468681 | Neu | [CVE-2024-34685] Cross-Site-Scripting-Sicherheitslücke (XSS) im SAP NetWeaver Knowledge Management XMLEditor EP-PIN-WPC-WCM | Mittel | 6,1 |
| 3457354 | Neu | [CVE-2024-37172] Fehlende Berechtigungsprüfung in SAP S/4HANA Finance (Advanced Payment Management) FIN-FSCM-PF-IHB | Mittel | 5,4 |
| 3461110 | Neu | [CVE-2024-39600] Sicherheitslücke durch Offenlegung von Informationen in SAP GUI für Windows BC-FES-GUI | Mittel | 5,0 |
| 3469958 | Neu | [CVE-2024-37171] Server-Side Request Forgery (SSRF) in SAP Transportation Management (Collaboration Portal) TM-CP | Mittel | 5,0 |
| 3485805 | Neu | [CVE-2024-34689] Whitelisting von Callback-URLs im SAP Business Workflow (WebFlow Services) BC-BMT-WFM | Mittel | 5,0 |
| 3483993 | Neu | [CVE-2024-34689] Voraussetzung für den Sicherheitshinweis 3458789 BC-BMT-WFM | Mittel | 5,0 |
| 3458789 | Neu | [CVE-2024-34689] Serverseitige Request-Forgery in SAP Business Workflow (WebFlow Services) BC-BMT-WFM | Mittel | 5,0 |
| 3456952 | Neu | [CVE-2024-39599] Fehler im Schutzmechanismus des SAP NetWeaver Application Server für ABAP und Platform ABAP Platform BC-MID-ICF | Mittel | 4,7 |
| 3476348 | Neu | [CVE-2024-39596] Sicherheitslücke durch fehlende Autorisierungsprüfung in SAP Enable Now KM-SEN-MGR | Mittel | 4,3 |
| 3101986 | Aktualisierung | Vorbereitung der CSP-Unterstützung für die Portierung von On-Premise-Anwendungen im Hinblick auf Code-Abhängigkeiten in der SAP-CRM-WebClient-Benutzeroberfläche CA-WUI-UI | Mittel | 4,1 |
| 3454858 | Neu | [CVE-2024-37180] Sicherheitslücke durch Offenlegung von Informationen im SAP NetWeaver Application Server für ABAP und in der Platform- BC-SRV-DX-DXW | Mittel | 4,1 |
| 3476340 | Neu | [CVE-2024-34692] Sicherheitslücke durch uneingeschränkten Datei-Upload in SAP Enable Now KM-SEN-MGR | Niedrig | 3,3 |
Übersicht über den SAP-Patch-Day im Juli 2024
Wie immer Onapsis Research Labs bereits Onapsis Research Labs , die Onapsis Platform zu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.
Weitere Informationen zu den neuesten SAP-Sicherheitsproblemen und unseren kontinuierlichen Bemühungen, Wissen mit der Sicherheits-Community zu teilen, finden Sie in unserem monatlichen „Defenders Digest“.