SAP-Sicherheitshinweise November 2019: Sicherheitslücke im SAP Diagnostics Agent, SAP hat alle Hände voll zu tun, neue HotNews veröffentlicht

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom November gehören:

• Zweites Update zum Problem mit dem SAP Diagnostics Agent veröffentlicht– Das Update behandelt ein weiteres Angriffsszenario und ersetzt die zuvor veröffentlichten HotNews-Hinweise  
• HotNews-Hinweis Nr. 2622660 ist wieder da– Neue Google-Chromium-Version für den Einsatz im SAP Business Client veröffentlicht 
• 2 Notizen mit hoher Priorität veröffentlicht– Sicherheitslücken in SAP Internet Pricing and Configurator (IPC) und Platform SAP Business Objects Platform

Auf den ersten Blick könnten Leser der neuen Sicherheitshinweise, die am SAP-Patch-Tag im November veröffentlicht wurden, angesichts der erneut vier „HotNews“-Hinweise auf der Liste etwas beunruhigt sein, doch eine genauere Analyse zeigt schnell, dass die Lage weniger dramatisch ist. Die SAP-Sicherheitshinweise Nr. 2808158 und Nr. 2823733 sind Aktualisierungen zu der von Onapsis gemeldeten Sicherheitslücke im SAP SMDAgent, die lediglich aktualisiert wurden, um zu bestätigen, dass das gesamte Problem nun im SAP-Sicherheitshinweis Nr. 2839864 behoben wird. Dieser ersetzt die verbleibenden beiden HotNews-Hinweise vollständig. Diese neuen Hinweise decken zusätzliche Angriffsszenarien ab, die diese Command-Injection-Sicherheitslücke im SAP Diagnostics Agent ausnutzen, die vom Onapsis Research Lab Anfang dieses Jahres entdeckt wurde. In unserem kontinuierlichen Bestreben, SAP-Kunden zu schützen, haben wir die zuvor veröffentlichten Patches analysiert und mit SAP zusammengearbeitet, um sicherzustellen, dass der neue Patch einige Szenarien abdeckt, die in den ursprünglichen Hinweisen nicht enthalten waren.

Eine weitere wichtige Meldung ist der SAP-SicherheitshinweisNr. 2622660, das immer wiederkehrende (aber dennoch wichtige) Update, in dem eine neue Chromium-Version für den SAP Business Client angekündigt wird. Leider handelt es sich bei der neuesten veröffentlichten Chromium-Version um 77.0.3865, die somit immer noch die kritischen Sicherheitslücken enthält, die das US-Heimatschutzministerium am 31. Oktober gemeldet hat. Wir können alsosehr bald mit einem weiteren Update zum SicherheitshinweisNr. 2622660 rechnen.

Man kann also sagen, dass es in diesem Monat nur zwei HotNews-Hinweise gibt, die Priorität haben, und nicht vier. Lesen Sie weiter, um mehr über die SMDAgent-Sicherheitslücke und zwei weitere wichtige Hinweise zu erfahren – den einzigen mit der Einstufung „Hohe Priorität“ sowie einen weiteren mit „Mittlerer Priorität“, der von Onapsis Research Labs gemeldet wurde.

Kurzer Überblick über die Geschichte von SMD Agent

Der SAP Solution Manager (SolMan) verfügt über eine Grundfunktion, mit der über eine bestimmte SolMan-Komponente einige speziell gestaltete und eingeschränkte Befehle auf den Agenten ausgeführt werden können. Diese Befehle werden anhand einer Whitelist überprüft, um die Ausführung beliebiger Befehle zu verhindern. Onapsis Research Labs zuvor eine Umgehungsmöglichkeit bei einem der zulässigen Befehle entdeckt, mit der beliebige andere Betriebssystembefehle als SolMan-Admin-Benutzer ausgeführt werden können. Dieses Problem wurde ursprünglich im April gemeldet, und der erste Patch wurde im Juli veröffentlicht. Nachdem wir den ersten Patch geprüft hatten, meldeten wir uns erneut bei SAP, um sicherzustellen, dass die Patches für andere Betriebssysteme fertiggestellt wurden, was im September geschah.

Danach haben unsere Forscher mehrere neue Umgehungsmöglichkeiten für die definierte Whitelist bei Linux-/Unix-Systemen entdeckt, bei denen andere zulässige, vorab erstellte Befehle ausgenutzt werden, wobei verschiedene Payloads und Ausnutzungsmethoden für diese Schwachstelle zum Einsatz kommen. Dies könnte es einem Angreifer zudem ermöglichen, Daten zu löschen, zu verändern oder sogar beliebige Befehle auf dem Agenten auszuführen. Auf dieser Grundlage hat SAP diesen Monat einen neuen Hinweis veröffentlicht, der alle gemeldeten Szenarien abdeckt und es Kunden, die zuvor noch keinen Patch installiert haben, ermöglicht, lediglich diesen zuletzt veröffentlichten Hinweis (#2839864) anzuwenden.

SAP hat neue Patches für die Support Packages 6 bis 9 veröffentlicht und stellt zudem manuelle Anleitungen für die Patch-Installation bei älteren Versionen bereit. Mit dem neuesten Patch liegt es nun in der Verantwortung des Kunden, die Whitelist für Befehle zu pflegen. Nach dem Anwenden des Patches funktionieren einige Diagnosetask möglicherweise nicht mehr, da SAP die Datei nun durch eine Liste mit einer begrenzten Anzahl zulässiger Befehle ersetzt. Es liegt ebenfalls in der Verantwortung des Kunden, zu entscheiden, welche Betriebssystembefehle zugelassen werden sollen, und Sie müssen möglicherweise einige davon manuell hinzufügen, falls Sie diese bisher verwendet haben.

Wie bereits in unserem SAP-Notes-Blogbeitrag vom September erwähnt, verfügen zwar viele SolMan-Administratoren über Administratorrechte in anderen SAP-Systemen, doch können bestimmte Szenarien eine Ausweitung der Rechte auf diejenigen ermöglichen, die diese nicht besitzen. Wenn diese Szenarien auf Sie zutreffen, sollte die Dringlichkeit der Installation dieses Patches für Sie oberste Priorität haben, da es sich hierbei um einen der wichtigsten Patches handeln könnte, auf die Sie in diesem Jahr achten sollten.

Wichtige Hinweise für Kunden, die den SAP Internet Pricing Configurator nutzen, sowie für SAP-Business-Objects-Kunden

Der SAP-Sicherheitshinweis Nr. 239393(CVSS-Score 7,1) behandelt eine Sicherheitslücke im SAP Internet Pricing Configurator (IPC), die häufig auch im kundeneigenen Code anzutreffen ist. Einige RFC-fähige Funktionsbausteine waren lediglich durch Berechtigungsprüfungen auf dem Objekt S_RFC geschützt. Aufgrund der Komplexität von SAP-Installationen gibt es in der Regel eine beträchtliche Anzahl von Benutzern mit S_RFC*-Berechtigungen, die somit automatisch Zugriff auf alle remote-fähigen Funktionsbausteine haben, die keine expliziten Berechtigungsprüfungen im Zusammenhang mit dem Geschäftskontext des Funktionsbausteins enthalten. SAP hat dieses Problem für eine Reihe wichtiger IPC-Funktionsbausteine durch die Einführung eines neuen, zuschaltbaren Berechtigungsszenarios behoben und ermöglicht Kunden damit einen reibungslosen Übergang zu detaillierteren und kontextbezogenen Berechtigungsprüfungen.   

Der SAP-Sicherheitshinweis Nr. 2814007, der ebenfalls mit einem CVSS-Score von 7,1 bewertet wurde, beschreibt die Einführung einer zusätzlichen XML-Validierung in Platform SAP Business Objects Business Intelligence Platform XML-Dokumente aus nicht vertrauenswürdigen Quellen in bestimmten Workflows nicht ordnungsgemäß auf schädliche Inhalte gefiltert wurden. Eine unzureichende XML-Validierung kann unter anderem zur Offenlegung von Informationen sowie zu vollständigen Systemausfällen aufgrund von Denial-of-Service-Angriffen führen. Korrektur für den eCatt-Service in SAP NW AS JAVA, initiiert von Onapsis Research Labs 

Korrektur für den eCatt-Service in SAP NW AS JAVA, initiiert von Onapsis Research Labs 

Der SAP-Sicherheitshinweis Nr. 2835226, der mit mittlerer Priorität eingestuft wurde, wurde ebenfalls von den Onapsis Research Labs entdeckt. Ohne diesen Fix könnten Angreifer den Dienst /ecatt/ecattping des ECATT-Frameworks ausnutzen, um Informationen zu sammeln, die für weitere Exploits und Angriffe verwendet werden könnten. Dies wird durch eine fehlende Berechtigungsprüfung im betroffenen Dienst verursacht. Da der bereitgestellte Patch die fehlende Autorisierungsprüfung einführt, ist es erforderlich, die erforderliche Rolle anzulegen und sie den jeweiligen Benutzern zuzuweisen. Generell wird empfohlen, das ECATT-Framework nur in Testsystemen zu verwenden.

Zusammenfassung und Schlussfolgerungen

Mit einem von (de facto) zwei „HotNews Notes“ und einem „Medium Priority Note“ Onapsis Research Labs die Onapsis Research Labs erneut einen wesentlichen Beitrag zur Verbesserung der Sicherheit von SAP Onapsis Research Labs . Dies unterstreicht unsere Mission, nicht nur zu verhindern, dass unsere Kunden durch die Ausnutzung bekannter, aber noch nicht behobener Sicherheitslücken in SAP angegriffen werden. Wir unterstützen SAP zudem nachdrücklich dabei, potenziellen Hackern und Datendieben stets einen Schritt voraus zu sein.

Wie immer Onapsis Research Labs die Onapsis Research Labs bereits Onapsis Research Labs , die Platform zu aktualisieren, Platform diese neu veröffentlichten Sicherheitslücken in das Produkt Platform integrieren, damit unsere Kunden bei ihren Sicherheitsüberprüfungen fehlende Hinweise erkennen können.

Wenn Sie weitere Informationen zu den aktuellen SAP-Sicherheitsproblemen erhalten und über unsere kontinuierlichen Bemühungen zum Wissensaustausch mit der Sicherheits-Community auf dem Laufenden bleiben möchten, abonnieren Sie unseren monatlichen „Defender’s Digest Onapsis“-Newsletter.