SAP-Patch-Tag: November 2022

Von:

8. November 2022

Wichtige Neuigkeiten zu SAP BusinessObjects und SAPUI5  

  • Zusammenfassung für November – 14 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter vier HotNews-Hinweise und drei Hinweise mit hoher Priorität 
  • Kritischster Patch für SAP BusinessObjects – CVSS 9.9-Sicherheitslücke, die zu einer vollständigen Kompromittierung der betroffenen Systeme führen kann
  • Onapsis Research Labs – Onapsis Research Labs zur Behebung von drei neuen Sicherheitslücken Onapsis Research Labs

SAP hat an seinem Patch Day im November 14 neue und aktualisierte Sicherheitshinweise veröffentlicht (einschließlich der Hinweise, die seit dem letzten Patch Tuesday veröffentlicht oder aktualisiert wurden). Darunter befinden sich vier HotNews-Hinweise und drei Hinweise mit hoher Priorität

Der HotNews-Hinweis Nr. 2622660 ist der regelmäßig erscheinende SAP-Sicherheitshinweis für den SAP Business Client, der einen Patch bereitstellt, der die neueste, getestete Chromium-Version 106.0.5249.91 enthält. Kunden des SAP Business Client sollten sich bewusst sein, dass Updates dieses Hinweises stets wichtige Korrekturen enthalten, die berücksichtigt werden müssen. Der aktualisierte Hinweis verweist auf 75 Chromium-Korrekturen, darunter zwei Probleme mit der Priorität „Kritisch“ und 39 Probleme mit der Priorität „Hoch“, die seit der letzten unterstützten Chromium-Version 104.0.5112.81 behoben wurden. Der maximale CVSS-Wert aller neu gepatchten Schwachstellen beträgt 9,6.

Der zweite HotNews-Hinweis, der seit dem Patch Day im Oktober aktualisiert wurde, ist der SAP-Sicherheitshinweis Nr . 3239152 mit einem CVSS-Wert von 9,6. Er wurde ursprünglich am SAP Security Patch Day im Oktober veröffentlicht und behebt eine Sicherheitslücke in SAP Commerce, die zur Übernahme von Benutzerkonten führen kann. Die neue Version des Hinweises enthält zwei Aktualisierungen. Das erste Update erwähnt lediglich, dass der Hinweis mit aktualisierten Patch-Release-Versionen im Abschnitt „Lösung“ neu veröffentlicht wurde. Das zweite Update besagt, dass das erste Update ignoriert werden kann, da die Patch-Release-Versionen bereits bei der ursprünglichen Veröffentlichung korrekt gepflegt wurden. Daher sind hinsichtlich des aktualisierten Hinweises keine Maßnahmen erforderlich.

Die Hochprioritätsmeldung Nr . 3226411 mit einem CVSS-Wert von 8,1 ist das zweite Update zu einer Sicherheitslücke, die eine Rechteausweitung in der SAP SuccessFactors für mobile Anwendungen (Android und iOS) ermöglicht. Zum Zeitpunkt der ersten Veröffentlichung bestand die einzige Möglichkeit, diese Sicherheitslücke zu beheben, darin, Anhänge in den vier betroffenen Modulen zu deaktivieren: „Time Off“, „Time Sheet“, „EC Workflow“ und „Benefit Claims“. Das erste Update des Hinweises im September befasste sich mit Anhängen, um die Verwendung von Anhängen in den ersten drei Modulen wieder zu aktivieren; der neueste Patch bietet eine sichere Lösung für das Modul „Benefit Claims“.

Die neuen HotNews -Notizen im Detail

Der SAP-Sicherheitshinweis Nr. 3243924, der mit einem CVSS-Wert von 9,9 versehen ist, behebt eine Sicherheitslücke in Platform SAP BusinessObjects Business Intelligence Platform Central Management Console und BI Launchpad), die durch eine unsichere Deserialisierung nicht vertrauenswürdiger Daten verursacht wird. Einige der SAP BusinessObjects BI-Workflows ermöglichen es einem authentifizierten Angreifer mit geringen Berechtigungen, ein serialisiertes Objekt in den Parametern abzufangen und durch ein bösartiges serialisiertes Objekt zu ersetzen. Da der Deserialisierungsvorgang keine Überprüfung der verarbeiteten Daten beinhaltete, könnte dies die Vertraulichkeit, Integrität und Verfügbarkeit des Systems erheblich gefährden. Der einzige Grund, warum diese Schwachstelle nicht mit der maximalen CVSS-Bewertung von 10 versehen wurde, ist, dass der Angreifer über ein Mindestmaß an Berechtigungen verfügen muss, um sie auszunutzen. Der Hinweis verweist auf den Knowledge-Base-Artikel Nr. 3250938, der weitere hilfreiche Informationen enthält.

Der zweite neue HotNews-Hinweis , der SAP-Sicherheitshinweis Nr . 3249990, weist einen CVSS-Wert von 9,8 auf und behebt zwei Sicherheitslücken in der SQLite-Bibliothek, die im SAPUI5-Framework enthalten ist. Die kritischere Schwachstelle (CVSS-Score 9,8) wird unter CVE-2021-20223 geführt und wurde mit SQLite-Version 3.34.0 und höher behoben. Diese Schwachstelle ermöglichte es einem Angreifer mit minimalen Berechtigungen, die Tatsache auszunutzen, dass SQLite NULL-Zeichen als Token behandelte. Dies hatte das Potenzial für erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit aller Anwendungen, die SAPUI5 verwenden.  

Die zweite SAP-Sicherheitslücke wurde mit einem CVSS-Wert von 7,5 bewertet, da sie „lediglich“ die Verfügbarkeit von Anwendungen beeinträchtigt, die SAPUI5 verwenden. Die Sicherheitslücke wird unter der Kennung CVE-2022-35737 geführt und kann ebenfalls aus der Ferne ausgenutzt werden. Für die Ausführung sind keine besonderen Berechtigungen seitens des Angreifers erforderlich. Die Schwachstelle besteht in den SQLite-Versionen 1.0.12 bis 3.39.x vor 3.39.2 und ermöglicht einen Array-Bounds-Überlauf, wenn Milliarden von Bytes in einem String-Argument an eine C-API übergeben werden.

Der SAP-Sicherheitshinweis enthält neue SAPUI5-Patch-Versionen, die mit einer neueren SQLite-Version erstellt wurden, in der die beiden Sicherheitslücken behoben wurden.

SAP-Sicherheitshinweise, die in Zusammenarbeit mit den Onapsis Research Labs veröffentlicht wurden

Die Onapsis Research Labs ORL) haben maßgeblich zu diesem SAP Patch Tuesday beigetragen, indem sie SAP bei der Behebung von insgesamt drei Sicherheitslücken unterstützt haben.

Der Patch mit hoher Priorität Nr. 3256571, der mit einem CVSS-Wert von 8,7 gekennzeichnet ist, behebt zwei Sicherheitslücken in SAP NetWeaver Application Server ABAP und Platform. Beide Sicherheitslücken betreffen remote-fähige Funktionsbausteine der Funktionsgruppe EPSF. Aufgrund unzureichender Eingabevalidierung konnten die beiden Funktionsbausteine aus der Ferne mit speziell gestalteten Parametern aufgerufen werden, wodurch das Auslesen oder Löschen von Dateien möglich war. Der Patch enthält nun eine Eingabevalidierung für die relevanten Parameterwerte, die auf relative Pfadinformationen prüft.

Ein weiteres Ergebnis der kontinuierlichen Sicherheitsforschung von Onapsis ist der SAP-Sicherheitshinweis Nr. 3238042, der mit einem CVSS-Wert von 6,1 bewertet wurde. Dieser Hinweis behebt eine Schwachstelle im Zusammenhang mit URL-Umleitungen in SAP Biller Direct. SAP Biller Direct ist eine webbasierte Engine für die Rechnungsstellung. Sie ermöglicht es SAP-Kunden, ihren Kontostatus und ihre Rechnungsdaten einzusehen. Außerdem bietet sie Optionen zum Herunterladen von Rechnungen, zur Zahlung per Kredit- oder Debitkarte sowie zur Nutzung von Online-Banking. 

Die Onapsis Research Labs , dass die Anwendung es einem nicht authentifizierten Angreifer ermöglicht, eine echt aussehende URL zu erstellen. Wenn ein ahnungsloses Opfer darauf klickt, wird es mithilfe eines nicht bereinigten Parameters auf eine vom Angreifer ausgewählte bösartige Website umgeleitet. Dies kann zur Offenlegung oder Veränderung der Daten des Opfers führen. Der Hinweis enthält einen Patch, der den betroffenen Parameter nun vor der Umleitung überprüft.

Weitere kritische Anmerkungen

Der SAP-Sicherheitshinweis Nr. 3263436 mit einem CVSS-Wert von 7,0 ist der zweite neue Hinweis mit hoher Priorität am SAP-Patch-Day im November. Er behebt eine Sicherheitslücke, die die Ausführung von beliebigem Code in SAP 3D Visual Enterprise Author und SAP 3D Visual Enterprise Viewer ermöglicht. Ursache dieser Sicherheitslücke ist eine fehlerhafte Speicherverwaltung. Die Ausführung von beliebigem Code kann ausgelöst werden, wenn ein Opfer eine manipulierte Datei, die aus nicht vertrauenswürdigen Quellen stammt, in SAP 3D Visual Enterprise Author und SAP 3D Visual Enterprise Viewer öffnet. Betroffen sind ausschließlich Dateien im AutoCAD-Format (.dst, TeighaTranslator.exe).

Zusammenfassung und Schlussfolgerung

Mit 14 neuen und aktualisierten SAP-Sicherheitspatches, darunter vier HotNews-Hinweise (von denen zwei neu sind) und drei Hinweise mit hoher Priorität, ist dies ein ruhiger Patch-Tag für SAP-Kunden. Das Beispiel des SAP-Sicherheitshinweises Nr. 3256571 zeigt, dass selbst Quellcodeobjekte, die älter als 25 Jahre sind, nach wie vor Sicherheitslücken aufweisen können. Es reicht nicht aus, nur neu erstellte oder geänderte Objekte auf anfälligen Code zu überprüfen; vielmehr muss die gesamte kundenspezifische Entwicklung bewertet werden.

SAP-Hinweis

Typ

Beschreibung

Priorität

CVSS

3251202

Neu

[CVE-2022-41215] Sicherheitslücke durch URL-Umleitung in SAP NetWeaver ABAP Server und ABAP Platform

BC-MID-ICF

Mittel

4,7

3218159

Neu

Unzureichende Sitzungsdauer im Central Fiori Launchpad

CA-FLP-FE-COR   

Mittel

6,1

3263436

Neu

[CVE-2022-41211] Sicherheitslücke, die die Ausführung von beliebigem Code ermöglicht, in SAP 3D Visual Enterprise Author und SAP 3D Visual Enterprise Viewer

CA-VE-VEA

Hoch

7,0

3243924

Neu

[CVE-2022-41203] Unsichere Deserialisierung nicht vertrauenswürdiger Daten in Platform SAP BusinessObjects Business Intelligence Platform Central Management Console und BI Launchpad)

BI-RA-WBI-FE

Aktuelles

9,9

3249990

Neu

[CVE-2021-20223] Mehrere Sicherheitslücken in der mit SAPUI5 gebündelten SQLite-Bibliothek

CA-UI5-VTK-VIT

Aktuelles

9,8

3229987

Neu

[CVE-2022-41259] Denial-of-Service-Angriff (DOS) in SAP SQL Anywhere

BC-SYB-SQAY

Mittel

6,5

3238042

Neu

[CVE-2022-41207] Sicherheitslücke durch URL-Umleitung in SAP Biller Direct

FIN-FSCM-BD

Mittel

6,1

3237251

Neu

[CVE-2022-41205] Sicherheitslücke durch Code-Injektion in SAP GUI für Windows

BC-FES-GUI

Mittel

5,5

3256571

Neu

[CVE-2022-41214] Mehrere Sicherheitslücken in SAP NetWeaver Application Server ABAP und ABAP Platform

BC-CTS-TMS

Hoch

8,7

3260708

Neu

[CVE-2022-41258] Mehrere Cross-Site-Scripting-Schwachstellen (XSS) in SAP Financial Consolidation

EPM-BFC-TCL-ADM-SEC

Mittel

6,5

2622660

Aktualisierung

Sicherheitsupdates für das control Chromium“, das mit dem SAP Business Client ausgeliefert wird

BC-FES-BUS-DSK

Aktuelles

10,0

3226411

Aktualisierung

[CVE-2022-35291] Sicherheitslücke mit Rechtenausweitung in der SAP SuccessFactors für mobile Anwendungen (Android und iOS)
 

LOD-SF-EC

Hoch

8,1

3202523

Aktualisierung

Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP Commerce

CEC-COM-CPS

Mittel

6,1

3239152

Aktualisierung

[CVE-2022-41204] Kontoübernahme durch eine Sicherheitslücke bei der URL-Weiterleitung im Anmeldeformular von SAP Commerce

CEC-COM-CPS

Aktuelles

9,6

Onapsis Research Labs aktualisiert die Platform Onapsis Research Labs mit den neuesten threat intelligence Sicherheitsempfehlungen, damit unsere Kunden den sich ständig weiterentwickelnden Bedrohungen immer einen Schritt voraus sind und ihre Unternehmen schützen können.

Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest“-Newsletter.

Stichworte
Über den Autor

Thomas Fritsch

Als führender SAP-Sicherheitsforscher bei Onapsis gilt Thomas Fritsch als anerkannte Autorität in den Bereichen vulnerability management und neue Bedrohungen. Aufgrund seiner langjährigen Erfahrung als SAP-Experte konzentriert er sich auf hochtechnische Bereiche wie die Konfiguration von SAP-Systemen und das Transportmanagement. Thomas’ Analysen der neuesten SAP-Sicherheitspatches und -Schwachstellen sind ein zentraler Bestandteil der Forschungsarbeit, die Unternehmen die fundierten und umsetzbaren Erkenntnisse liefert, die sie zum Schutz ihrer Systeme benötigen. Seine Rolle als angesehener Redner und Autor festigt seinen Ruf als maßgebliche Stimme im Bereich der SAP-Cybersicherheit und trägt dazu bei, die Lücke zwischen komplexer Forschung und praktischen Sicherheitsmaßnahmen in der realen Welt zu schließen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen