SAP-Patch-Tag: März 2023

Von:

14. März 2023

 

Kritische Sicherheitslücken in SAP NetWeaver AS ABAP / Java und in SAP BusinessObjects behoben

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom März gehören:

  • Zusammenfassung für März– 21 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter sechs HotNews-Hinweise und vier Hinweise mit hoher Priorität
  • Kritische Patches betreffen alle SAP-Kunden– Drei neue HotNews-Meldungen für SAP NetWeaver AS ABAP und JAVA 
  • Onapsis Research Labs – Unser Team hat SAP dabei unterstützt, fünfzehn Sicherheitslücken zu beheben, die in zwölf SAP-Sicherheitshinweisen behandelt wurden

SAP hat an seinem Patch Day im März einundzwanzig SAP-Sicherheitshinweise veröffentlicht, darunter sechs „HotNews“-Hinweise und vier Hinweise mit hoher Priorität. 

Die Onapsis Research Labs zur Behebung von fünfzehn Sicherheitslücken Onapsis Research Labs , die in zwölf der neunzehn neuen SAP-Sicherheitshinweise behandelt werden. 

Zwei SAP-Sicherheitshinweise enthalten geringfügige Aktualisierungen von Hinweisen, die ursprünglich im Dezember 2022 und im Februar 2023 veröffentlicht wurden.

Der SAP-Sicherheitshinweis Nr. 3273480, der mit einem CVSS-Wert von 9,9 versehen ist, war der erste Patch zur Behebung einer Reihe von Control unzureichender Control in SAP NetWeaver AS Java, die von den Onapsis Research Labs entdeckt worden waren. Die Lösung wurde ursprünglich am SAP-Patch-Day im Dezember veröffentlicht und führte zu einigen Nebenwirkungen bei den Alarmierungs- und Überwachungsfunktionen von SAP NW AS Java. Das neueste Update des Hinweises verweist auf zwei weitere Hinweise, die diese Nebenwirkungen beheben.

Der SAP-Sicherheitshinweis Nr. 3273480, der mit einem CVSS-Wert von 6,1 versehen ist, wurde ursprünglich im Februar veröffentlicht und behebt eine Cross-Site-Scripting-Sicherheitslücke im BSP-Framework von SAP NW AS ABAP. Das Update enthält lediglich geringfügige Textänderungen, und Kunden müssen keine weiteren Maßnahmen ergreifen, sofern der Sicherheitshinweis bereits auf den betroffenen Systemen angewendet wurde. 

Die HotNews-Notizen im Detail

Zwei der fünf neuen HotNews-Hinweise betreffen Platform SAP Business Objects (SAP BO) Intelligence Platform. Der SAP-Sicherheitshinweis Nr. 3245526, der mit einem CVSS-Wert von 9,9 bewertet wurde, behebt eine Sicherheitslücke in der Central Management Console (CMC), die es einem Angreifer ermöglicht, beliebigen Code einzuschleusen, was erhebliche negative Auswirkungen auf die Integrität, Vertraulichkeit und Verfügbarkeit des Systems hat.

Der SAP-Sicherheitshinweis Nr. 3283438 weist zwar einen etwas niedrigeren CVSS-Wert von 9,0 auf, was jedoch nicht bedeutet, dass er weniger kritisch ist. Die niedrigere CVSS-Bewertung ist darauf zurückzuführen, dass für eine erfolgreiche Ausnutzung die Interaktion mit einem anderen Benutzer erforderlich ist. Der Hinweis behebt eine Sicherheitslücke im SAP BO Adaptive Job Server, die die Ausführung beliebiger Betriebssystembefehle über das Netzwerk ermöglicht. Die Sicherheitslücke betrifft ausschließlich SAP-BO-Installationen auf UNIX-Plattformen.

Zwei weitere HotNews-Meldungen, die in Zusammenarbeit mit den Onapsis Research Labs ORL) veröffentlicht wurden, weisen einen CVSS-Wert von 9,6 auf und betreffen schwerwiegende Sicherheitslücken im Zusammenhang mit Verzeichnisüberquerung in SAP NetWeaver AS ABAP.

Der SAP-Sicherheitshinweis Nr. 3302162 deaktiviert das Programm SAPRSBRO, das von SAP-Diensten zur Konfiguration des Systems für branchenspezifische Texte verwendet wird. Der Patch verhindert, dass Angreifer ohne Administratorrechte beliebige kritische Betriebssystemdateien überschreiben können.

Der SAP-Sicherheitshinweis Nr. 3294595 behebt eine ähnliche Sicherheitslücke in anderen Diensten eines SAP NetWeaver AS ABAP. Diese Sicherheitslücke wurde durch das Include-Programm RSPOXTAB verursacht, das den Zugriff auf Dateien ermöglicht, denen im System kein logischer Dateiname zugewiesen ist. SAP hatte das Problem bereits im Januar über den Korrekturhinweis Nr. 1512430 (kein Sicherheitshinweis) behoben, indem die Verbraucher dieses Include-Programms gepatcht wurden. Die mit dem SAP-Sicherheitshinweis Nr . 3294595 bereitgestellte Lösung ist jedoch sicherer, da sie das Include direkt behebt und somit sowohl aktuelle als auch zukünftige Kunden automatisch schützt. Die fünfte neue HotNews behebt Control weitere kritische Control „Unangemessene Control in SAP NetWeaver AS Java. Der SAP-Sicherheitshinweis Nr. 3252433, der mit einem CVSS-Score von 9,9 bewertet ist, patcht den Locking Service von AS Java, der für die Anforderung von Sperren beim Enqueue Service zuständig ist. Die Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer, sich an eine offene Schnittstelle anzuschließen und eine offene Naming- und Directory-API zu nutzen, um auf Dienste zuzugreifen. Diese Dienste können dazu verwendet werden, unbefugte Operationen durchzuführen und Benutzer sowie Dienste systemübergreifend zu beeinträchtigen. 

Die Notizen mit hoher Priorität im Detail

Alle vier „High Priority Notes“ wurden in Zusammenarbeit mit der ORL veröffentlicht und beheben insgesamt sieben Sicherheitslücken.

Der SAP-Sicherheitshinweis Nr. 3296476, der mit einem CVSS-Wert von 8,8 versehen ist, behebt Sicherheitslücken, die die Ausführung von Remote-Code in mehreren remote-fähigen Funktionsbausteinen ermöglichen. Diese Funktionsbausteine werden vom SAP Active Global Support verwendet, um benutzerdefinierten Code zu evaluieren und den dynamischen Aufruf beliebiger lokaler Funktionsbausteine zu ermöglichen, sofern deren Schnittstelle bestimmte Bedingungen erfüllt. Angreifer benötigen lediglich die entsprechende S_RFC-Berechtigung, entweder für einen der Funktionsbausteine oder für die gesamte Funktionsgruppe. Die anfällige Funktionsgruppe wird mit dem ST-PI-Add-On ausgeliefert und betrifft somit SolutionManager-Systeme sowie die damit verbundenen ABAP-verwalteten Systeme.

Der SAP-Sicherheitshinweis Nr. 3294954, der mit einem CVSS-Wert von 8,7 versehen ist, behebt eine Directory-Traversal-Sicherheitslücke in einem remote-fähigen Funktionsbaustein von SAP NetWeaver AS ABAP. Ein erfolgreicher Angriff ermöglicht es einem Angreifer, beliebige Dateien auf Betriebssystemebene zu löschen und das System lahmzulegen. Das Problem entsteht dadurch, dass ein Importparameter des Funktionsbausteins relative Dateipfadausdrücke akzeptiert und den Parameterwert nicht angemessen überprüft.

Der SAP-Sicherheitshinweis Nr. 3296346 behebt eine Server-Side-Request-Forgery-Sicherheitslücke mit einem CVSS-Wert von 7,4 sowie eine Denial-of-Service-Sicherheitslücke mit einem CVSS-Wert von 6,5. Durch unzureichende Eingabekontrollen kann ein Angreifer, der als nicht-administrativer Benutzer authentifiziert ist, eine Anfrage erstellen, die den Anwendungsserver dazu veranlasst, eine Anfrage an eine beliebige URL zu senden. Diese URL könnte dazu genutzt werden, nicht sensible Informationen offenzulegen, zu verändern oder unzugänglich zu machen, was zu geringen Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit führt. Die betroffene ABAP-Klasse weist zudem mehrere Schwachstellen bei der Fehlerbehandlung auf. Dies ermöglicht es einem Angreifer, eine Anfrage mit bestimmten Parametern zu erstellen, die die Ressourcen des Servers beanspruchen und diesen unzugänglich machen. Da die Klasse von SAP nicht mehr verwendet wird, wird die Implementierung der betroffenen Klasse durch den Patch zurückgezogen.   

Der SAP-Sicherheitshinweis Nr. 3275727 behebt eine Sicherheitslücke in der ausführbaren Datei „SAPOSCOL“, die zu einer Speicherbeschädigung führt und mit einem CVSS-Wert von 7,2 bewertet wurde. Ein nicht authentifizierter Angreifer mit Netzwerkzugriff auf einen Serverport, der dem SAP-Startdienst zugewiesen ist, kann eine manipulierte Anfrage senden und einen Speicherfehler auslösen. Dieser Fehler kann dazu genutzt werden, technische Informationen über den Server auszulesen. Außerdem kann er dazu führen, dass ein bestimmter Dienst vorübergehend nicht verfügbar ist.

Weitere Beiträge der Onapsis Research Labs

Neben drei HotNews-Meldungen und vier Meldungen mit hoher Priorität trug das ORL zur Behebung von fünf Sicherheitslücken mit mittlerer Priorität bei.

Der SAP-Sicherheitshinweis Nr. 3284550, der mit einem CVSS-Wert von 6,8 bewertet wurde, behebt eine Schwachstelle im Zusammenhang mit XML External Entity im SAP Enterprise Portal. Eine fehlende Validierungsprüfung im XML-Parser ermöglicht es Angreifern mit entsprechenden Berechtigungen, auf den Parser zuzugreifen, manipulierte XML-Dateien zu übermitteln und Lesezugriff auf sensible Daten zu erlangen.

Der SAP-Sicherheitshinweis Nr. 3296328 hebt die Implementierung einer weiteren Klasse auf (siehe SAP-Sicherheitshinweis Nr . 3296346). Diese Klasse ermöglichte es einem Angreifer, durch speziell gestaltete Anfragen genügend Systemressourcen zu beanspruchen, um das System lahmzulegen.

Die vom ORL entdeckte Reihe von Control unzureichender Control in SAP NetWeaver AS Java wird durch drei SAP-Sicherheitshinweise ergänzt, die alle mit einem CVSS-Wert von 5,3 bewertet sind. Jeder Hinweis behebt Control in einem bestimmten Dienst, bei dem Authentifizierungs- und Autorisierungsprüfungen fehlen oder unzureichend sind. Dies ermöglicht es Angreifern, über eine offene Namens- und Verzeichnis-API auf einen Dienst zuzugreifen, wodurch sie sensible Serverkonfigurationen auslesen können, die für nachfolgende Angriffe genutzt werden könnten. Die Sicherheitshinweise und die behobenen Dienste lauten wie folgt:

 

SAP-Sicherheitshinweis

Aktualisierter Dienst

#3288480

Objektanalyse-Service

#3288096

Cache-Verwaltungsdienst

#3288394

Classload-Service

 

Zusammenfassung und Schlussfolgerungen

Die Anzahl der neuen SAP-Sicherheitshinweise am SAP-Patch-Day im März ist mit der des Vormonats vergleichbar. Die behobenen Sicherheitslücken haben einmal mehr gezeigt, dass die Eingabevalidierung sowie ordnungsgemäße Authentifizierungs- und Autorisierungsprüfungen entscheidend für den Schutz von Anwendungen sind. Eine weitere Erkenntnis dieses Patch-Days: Beseitigen Sie ungenutzten Code, da dieser oft unerkannte Sicherheitsrisiken birgt. 

SAP-Hinweis

Typ

Beschreibung

Priorität

CVSS

3289844

Neu

[CVE-2023-25615] SQL-Injection-Sicherheitslücke in Platform SAP ABAP Platform

 

BC-DWB-TOO-TDF

Mittel

6,8

3245526

Neu

[CVE-2023-25616] Sicherheitslücke durch Code-Injektion in Platform SAP Business Objects Business Intelligence Platform CMC)

 

BI-BIP-CMC

Aktuelles

9,9

3283438

Neu

[CVE-2023-25617] Sicherheitslücke bei der Ausführung von Betriebssystembefehlen in Platform SAP Business Objects Business Intelligence Platform Adaptive Job Server)

 

BI-BIP-SRV

Aktuelles

9,0

3302710

Neu

[CVE-2023-27895] Sicherheitslücke mit Offenlegung von Informationen in SAP Authenticator für Android

 

BC-IAM-SSO-OTP

Mittel

6,1

3296328

Neu

[CVE-2023-27270] Denial-of-Service-Angriff (DoS) in SAP NetWeaver AS für ABAP und ABAP Platform

 

BC-MID-ICF

Mittel

6,5

3294954

Neu

[CVE-2023-27501] Verzeichnisüberquerungs-Sicherheitslücke in SAP NetWeaver AS für ABAP und Platform ABAP Platform

 

BC-CTS-TMS

Hoch

8,7

3252433

Neu

[CVE-2023-23857] Unzureichende Control SAP NetWeaver AS for Java

 

BC-CST-EQ

Aktuelles

9,9

3294595

Neu

[CVE-2023-27269] Verzeichnisüberquerungs-Sicherheitslücke in SAP NetWeaver AS für ABAP und Platform ABAP Platform

 

BC-CCM-PRN

Aktuelles

9,6

3296346

Neu

[CVE-2023-26459] Mehrere Sicherheitslücken in SAP NetWeaver AS für ABAP und Platform ABAP Platform

 

BC-MID-ICF

Hoch

7,4

3281484

Neu

[CVE-2023-26457] Cross-Site-Scripting-Sicherheitslücke (XSS) im SAP Content Server

 

BC-SRV-KPR-CS

Mittel

6,1

274920

Neu

[CVE-2023-0021] Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP NetWeaver

 

BC-CCM-P3RN-PC

Mittel

6,1

3302162

Neu

[CVE-2023-27500] Sicherheitslücke durch Verzeichnisüberquerung in SAP NetWeaver AS für ABAP und ABAP Platform

 

BC-DOC-RIT

Aktuelles

9,6

3284550

Neu

[CVE-2023-26461] XML-External-Entity-Sicherheitslücke (XXE) in SAP NetWeaver (SAP Enterprise Portal)

 

EP-PIN-PSL

Mittel

6,8

3296476

Neu

[CVE-2023-27893] Ausführung von beliebigem Code in SAP Solution Manager und ABAP-verwalteten Systemen (ST-PI)

 

SV-SMG-SDD

Hoch

8,8

3275727

Neu

[CVE-2023-27498] Sicherheitslücke durch Speicherbeschädigung in SAPOSCOL

 

BC-CCM-MON-OS

Hoch

7,2

3287120

Neu

[Mehrere CVEs] Mehrere Sicherheitslücken in der SAP BusinessObjects Business platform

 

BI-BIP-INV

Mittel

6,5

3288480

Neu

[CVE-2023-27268] Unzureichende Control SAP NetWeaver AS Java (Object Analyzing Service)

 

BC-JAS-COR-SES

Mittel

5,3

3288096

Neu

[CVE-2023-26460] Unzureichende Control SAP NetWeaver AS Java (Cache Management Service)

 

BC-JAS-COR-CSH

Mittel

5,3

3288394

Neu

[CVE-2023-24526] Unzureichende Control SAP NetWeaver AS Java (Classload-Dienst)

 

BC-JAS-COR

Mittel

5,3

3273480

Aktualisierung

[CVE-2022-41272] Unzureichende control SAP NetWeaver AS Java (benutzerdefinierte Suche)

 

BC-XI-CON-UDS

Aktuelles

9,9

3274585

Aktualisierung

[CVE-2023-25614] Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP NetWeaver AS ABAP (BSP-Framework)

 

BC-BSP

Mittel

6,1

Wie immer Onapsis Research Labs die Platform, um die neu veröffentlichten Sicherheitslücken zu beheben, damit unsere Kunden ihre Unternehmen schützen können.

Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen The Defenders Digest -NewsletterThe Defenders Digest “.

Stichworte, , ,
Über den Autor

Thomas Fritsch

Als führender SAP-Sicherheitsforscher bei Onapsis gilt Thomas Fritsch als anerkannte Autorität in den Bereichen vulnerability management und neue Bedrohungen. Aufgrund seiner langjährigen Erfahrung als SAP-Experte konzentriert er sich auf hochtechnische Bereiche wie die Konfiguration von SAP-Systemen und das Transportmanagement. Thomas’ Analysen der neuesten SAP-Sicherheitspatches und -Schwachstellen sind ein zentraler Bestandteil der Forschungsarbeit, die Unternehmen die fundierten und umsetzbaren Erkenntnisse liefert, die sie zum Schutz ihrer Systeme benötigen. Seine Rolle als angesehener Redner und Autor festigt seinen Ruf als maßgebliche Stimme im Bereich der SAP-Cybersicherheit und trägt dazu bei, die Lücke zwischen komplexer Forschung und praktischen Sicherheitsmaßnahmen in der realen Welt zu schließen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen