SAP-Sicherheitspatch-Tag: Mai 2023

Zu den Höhepunkten der Analyse der SAP-Sicherheitshinweise für Mai zählen 25 neue und aktualisierte SAP-Sicherheitspatches, darunter drei „HotNews“-Hinweise und neun Hinweise mit hoher Priorität. Besondere Aufmerksamkeit sollte mehreren kritischen Sicherheitslücken in der Weboberfläche des SAP 3D Visual Enterprise License Manager gewidmet werden. In diesem Monat Onapsis Research Labs zudem zum vierten Mal in Folge direkt zum SAP Patch Tuesday beigetragen.

HotNews -Hinweise für den SAP 3D Visual Enterprise License Manager und SAP BusinessObjects veröffentlicht

SAP hat an seinem Patch Day im Mai 25 neue und aktualisierte Sicherheitshinweise veröffentlicht (einschließlich der Hinweise, die seit dem letzten Patch Tuesday veröffentlicht oder aktualisiert wurden). Darunter befinden sich drei HotNews-Hinweise und neun Hinweise mit hoher Priorität. 

Einer der drei HotNews-Hinweise ist der regelmäßig erscheinende SAP-Sicherheitshinweis Nr. 2622660, der ein Update für den SAP Business Client einschließlich der neuesten unterstützten Chromium-Patches bereitstellt. Der SAP Business Client unterstützt nun die Chromium-Version 112.0.5615.121, die insgesamt 26 Sicherheitslücken behebt, darunter 13 Sicherheitslücken mit hoher Priorität. Der maximale CVSS-Wert aller behobenen Schwachstellen beträgt 9,8. Version 112.0.5615.121 war ein dringendes Sicherheitsupdate von Google, das eine kritische Schwachstelle behebt, die unter der Kennung CVE-2023-2033 erfasst wurde. Google bestätigte, dass „ein Exploit für CVE-2023-2033 in freier Wildbahn existiert“. Basierend auf der Beschreibung der Schwachstelle durch das NIST ermöglicht die Sicherheitslücke „einem Angreifer aus der Ferne, potenziell eine Heap-Korruption über eine manipulierte HTML-Seite auszunutzen“.  

Zwei der SAP-Hinweise mit hoher Priorität, Nr. 3217303 und Nr. 3213507, sind Teil einer Reihe von fünf SAP-Sicherheitshinweisen, die ursprünglich im Jahr 2022 veröffentlicht wurden und alle Sicherheitslücken in SAP BusinessObjects beheben, die zu einer Offenlegung von Informationen führen können. In der Aktualisierung wird erläutert, dass der HotNews-Hinweis Nr. 3307833 diese fünf Hinweise ersetzt. Weitere Einzelheiten finden Sie im folgenden HotNews-Abschnitt.

Die neuen HotNews -Notizen im Detail

Der SAP-Sicherheitshinweis Nr. 3328495, der mit einem CVSS-Wert von 9,8 versehen ist, behebt fünf Sicherheitslücken in Version 14.2 der Komponente „Reprise License Manager“ (RLM), die im Zusammenhang mit dem SAP 3D Visual Enterprise License Manager verwendet wird. Die folgende Tabelle enthält eine Übersicht über die behobenen Sicherheitslücken: 

 
Weitere Informationen finden Sie in den oben genannten Links zu CVE und CWE.

Der SAP-Hinweis empfiehlt, den SAP 3D Visual Enterprise License Manager auf Version 15.0.1-sap2 zu aktualisieren. Es scheint jedoch, dass die Deaktivierung des betroffenen RLM-Webinterfaces die entscheidende Maßnahme zur Behebung der Probleme ist, da der empfohlene Patch bereits im Januar 2023 veröffentlicht wurde. Das Deaktivieren der Webschnittstelle wird ebenfalls als mögliche Abhilfe beschrieben. Es ist jedoch immer ratsam, alle Komponenten auf dem neuesten Stand zu halten. Der Aktualisierungsprozess bietet die Möglichkeit, die neueste Version mit deaktivierter Webschnittstelle zu installieren, und ersetzt damit die manuellen Schritte, die andernfalls erforderlich wären.

Der SAP-Sicherheitshinweis Nr. 3307833, der mit einem CVSS-Score von 9,1 bewertet wurde, enthält mehrere Patches für Sicherheitslücken, die zur Offenlegung von Informationen in Platform SAP BusinessObjects Business Intelligence Platform führen. Die neueste und kritischste dieser Sicherheitslücken „ermöglicht es einem authentifizierten Angreifer mit Administratorrechten, das Anmeldetoken eines beliebigen angemeldeten BI-Benutzers oder Servers über das Netzwerk ohne jegliche Benutzerinteraktion abzurufen. Der Angreifer kann sich als beliebiger Benutzer auf der platform ausgeben, platform , dass er auf Daten zugreifen und diese ändern kann. Der Angreifer kann das System zudem teilweise oder vollständig außer Betrieb setzen.“ Der Hinweis Nr. 3307833 ersetzt außerdem die SAP-Sicherheitshinweise Nr. 3217303, Nr. 3145769, Nr. 3213524, Nr . 3213507 und Nr. 3233226. Alle Hinweise wurden ursprünglich im Jahr 2022 veröffentlicht und am SAP-Patch-Day im Mai aktualisiert. Das Update enthält zwei wichtige Hinweise:

• Kunden, die diese SAP-Sicherheitshinweise bereits umgesetzt haben, sollten für eine vollständige Behebung auch den SAP-Sicherheitshinweis Nr . 3307833 umsetzen.
   
• Kunden, die noch nicht alle diese SAP-Sicherheitshinweise umgesetzt haben, sollten den SAP-Sicherheitshinweis Nr . 3307833 unverzüglich umsetzen.

SAP-Sicherheitshinweise mit hoher Priorität

Der SAP-Sicherheitshinweis Nr . 3317453, der mit einem CVSS-Wert von 8,2 versehen ist, behebt eine Control unzureichenden Control in SAP NetWeaver AS JAVA. Die Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer, sich an eine offene Schnittstelle anzuschließen und eine offene Namens- und Verzeichnis-API zu nutzen. Er kann dann ein Objekt instanziieren, das über Methoden verfügt, die ohne weitere Autorisierung und Authentifizierung aufgerufen werden können. Ein anschließender Aufruf einer dieser Methoden kann den Status bestehender Dienste lesen oder ändern, was erhebliche Auswirkungen auf die Integrität des Systems und geringe Auswirkungen auf dessen Vertraulichkeit hat.

Die Sicherheitslücke wurde von SAP in Zusammenarbeit mit dem Onapsis Research Labsbehoben. Sie ist Teil einer Reihe weiterer Sicherheitslücken – unter dem Namen P4CHAINS –, dieSAP in den letzten Monaten in Zusammenarbeit mit den Onapsis Research Labs behoben hat. Weitere Informationen finden Sie hier. 

Eine weitere Schwachstelle mit einem CVSS-Wert von 8,2 wurde mit dem SAP-Sicherheitshinweis Nr. 3323415 behoben. Der Hinweis behebt eine Schwachstelle, die eine Rechteausweitung im Installationsprogramm des SAP-IBP-Add-Ins für Microsoft Excel ermöglicht. Wird diese Schwachstelle nicht behoben, kann ein authentifizierter Angreifer eine benutzerdefinierte InstallScript-Aktion zu einem Basic-MSI- oder InstallScript-MSI-Projekt hinzufügen, um während der Installation Binärdateien in einen vordefinierten, beschreibbaren Ordner zu extrahieren. Aufgrund der Rechteausweitung kann ein Angreifer Code als Administrator ausführen, was erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Systems haben könnte.

In der Mitteilung heißt es: „Benutzer, die das Excel-Add-In bereits installiert haben, sind nicht betroffen. Nur neu durchgeführte Installationen sind anfällig für Angriffe.“ Dies scheint eine sehr vage Aussage zu sein, da Kunden, die in der Vergangenheit das ungepatchte Installationsprogramm verwendet haben, möglicherweise bereits Opfer eines Angriffs geworden sind. 

Der SAP-Sicherheitshinweis Nr. 3320467 mit einem CVSS-Wert von 7,5 ist möglicherweise der Hinweis mit der höchsten Priorität des SAP-Patch-Days im Mai, der die meisten SAP-Kunden betrifft, da er SAPGUI betrifft. Er behebt eine Sicherheitslücke, die es einem unbefugten Angreifer ermöglicht, NTLM-Authentifizierungsdaten eines Benutzers zu erlangen, indem er diesen dazu verleitet, auf eine vorbereitete Verknüpfungsdatei zu klicken. Je nach den Berechtigungen des Benutzers kann der Angreifer nach erfolgreicher Ausnutzung potenziell sensible Informationen lesen und ändern. 

SAP Commerce ist von zwei Sicherheitshinweisen mit hoher Priorität betroffen, die beide mit einem CVSS-Wert von 7,5 bewertet wurden.

Der SAP-Sicherheitshinweis Nr. 3321309 behebt eine Sicherheitslücke im SAP Commerce Backoffice, die zur Offenlegung von Informationen führen kann. Die Sicherheitslücke ermöglicht es einem Angreifer, über eine manipulierte POST-Anfrage auf Informationen zuzugreifen, die andernfalls eingeschränkt zugänglich wären, wodurch die Vertraulichkeit des Systems beeinträchtigt wird.

Der SAP-Sicherheitshinweis Nr. 3320145 enthält einen Patch mit einer korrigierten Version der XStream-Bibliothek. Ältere Versionen dieser Bibliothek waren anfällig für die Sicherheitslücke CVE-2022-41966, wodurch ein Angreifer aus der Ferne die Anwendung mit einem Stapelüberlauf-Fehler zum Absturz bringen und so einen Denial-of-Service-Angriff auslösen konnte.

Der SAP-Sicherheitshinweis Nr. 3300624, der mit einem CVSS-Wert von 7,5 bewertet wurde, behebt ein Problem in SAP PowerDesigner, das erhebliche Auswirkungen auf die Verfügbarkeit der Anwendung haben kann. Die Sicherheitslücke ermöglicht es einem Angreifer, von einem Remote-Host aus eine manipulierte Anfrage an den Proxy-Rechner zu senden und den Proxy-Server zum Absturz zu bringen. Ursache hierfür ist eine fehlerhafte Implementierung der Speicherverwaltung, die zu einer Speicherbeschädigung führt.

Der SAP-Sicherheitshinweis Nr. 3326210, der mit einem CVSS-Wert von 7,1 bewertet wurde, behebt eine Sicherheitslücke im control „sap.m.FormattedText“, die es einem Angreifer ermöglicht, durch eine Phishing-Attacke Benutzerdaten auszulesen oder zu verändern.  

Zusammenfassung und Schlussfolgerung

Mit 25 neuen und aktualisierten SAP-Sicherheitshinweisen, darunter drei „HotNews“-Hinweise und neun Hinweise mit hoher Priorität, ist der SAP-Patch-Day im Mai besonders umfangreich. Besondere Aufmerksamkeit sollte dem SAP-Hinweis Nr . 3307833 gewidmet werden, da er die endgültige Korrektur für fünf ältere SAP-Sicherheitshinweise darstellt.  

Onapsis Research Labs aktualisiert die Platform Onapsis Research Labs mit den neuesten threat intelligence Sicherheitsempfehlungen, damit unsere Kunden den sich ständig weiterentwickelnden Bedrohungen immer einen Schritt voraus sind und ihre Unternehmen schützen können.

Weitere Informationen zu den neuesten SAP-Sicherheitsproblemen und unseren kontinuierlichen Bemühungen, Wissen mit der Sicherheits-Community zu teilen, finden Sie in unseren früheren Patch-Day-Blogbeiträgen. Abonnieren Sie außerdem unseren monatlichen „Defenders Digest“-Newsletter.