SAP-Patch-Tag: September 2024
Von einer bekannten Node.js-Sicherheitslücke betroffene SAP Build Apps-Anwendungen
Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom September gehören:
- Zusammenfassung für September — Neunzehn neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter Aktualisierungen für einen HotNews-Hinweis und einen Hinweis mit hoher Priorität
- Aktualisierte Hinweise — Es wird dringend empfohlen, die aktualisierten Hinweise durchzulesen
- Onapsis Research Labs – Unser Team hat SAP dabei unterstützt, zwölf Sicherheitslücken zu beheben, die in sieben SAP-Sicherheitshinweisen behandelt wurden
SAP hat im Rahmen seines Patch Day im September neunzehn neue und aktualisierte SAP-Sicherheitshinweise veröffentlicht, darunter Aktualisierungen eines HotNews-Hinweises und eines Hinweises mit hoher Priorität.
Der HotNews- Hinweis Nr. 3479478, der mit einem CVSS-Score von 9,8 versehen ist, wurde ursprünglich am SAP-Patch-Day im August veröffentlicht und behebt eine Sicherheitslücke aufgrund einer fehlenden Authentifizierungsprüfung in Platform SAP BusinessObjects Business Intelligence Platform. Der aktualisierte Hinweis enthält Anweisungen zu einer vorübergehenden Abhilfe für Kunden, die den Patch nicht sofort installieren können. Darüber hinaus wurde die Gültigkeit des Hinweises auf Release 420 der Enterprise-Softwarekomponente ausgeweitet.
Der Hinweismit hoher Priorität Nr. 3459935, der mit einem CVSS-Score von 7,4 versehen ist, behebt eine Sicherheitslücke durch Offenlegung von Informationen in Cloud SAP Commerce Cloud. Kunden, die den Patch bereits nach seiner ersten Veröffentlichung im August installiert haben, sollten den Hinweis überprüfen, da SAP die Korrekturversion von SAP Commerce Cloud Release 2211.27 auf SAP Commerce Cloud Release 2211.28 aktualisiert hat.
Beitrag von Onapsis
Wieder einmal die Onapsis Research Labs (ORL) maßgeblich zum SAP Patch Day bei. Das Team unterstützte SAP bei der Behebung von zwölf Sicherheitslücken, die in sieben SAP-Sicherheitshinweisen behandelt wurden.
Die SAP-Sicherheitshinweise Nr . 3497347 und Nr . 3501359, die beide mit einem CVSS-Wert von 6,1 bewertet sind, beheben Cross-Site-Scripting-Schwachstellen in eProcurement auf S/4HANA und im CRM Blueprint Application Builder Panel. Eine schwache Kodierung und unzureichende Validierung von benutzergesteuerten Eingaben ermöglichen es Angreifern, bösartige Skripte einzuschleusen, die von ahnungslosen Benutzern ausgeführt werden. Dadurch erhalten Angreifer die Möglichkeit, auf Informationen zuzugreifen und/oder diese zu ändern, wobei die Vertraulichkeit und Integrität nur geringfügig beeinträchtigt werden.
Der SAP-Sicherheitshinweis Nr. 3488341, der mit einem CVSS-Wert von 6,5 bewertet wurde, behebt eine Sicherheitslücke aufgrund einer fehlenden Berechtigungsprüfung in der SAP-Produktions- und Umsatzabrechnung. Ein aus der Ferne aufrufbares Funktionsmodul einer veralteten Anwendungsschnittstelle ermöglicht das generische Auslesen beliebiger Tabellendaten. SAP hat das Problem durch Hinzufügen einer entsprechenden Berechtigungsprüfung behoben. Bleibt das Funktionsmodul ungepatcht, könnte dies zur Offenlegung hochsensibler Daten führen.
Der SAP-Sicherheitshinweis Nr. 3488039, der mit einem CVSS-Wert von 5,4 versehen ist, behebt sechs Schwachstellen aufgrund fehlender Berechtigungsprüfungen in verschiedenen RFC-fähigen Funktionsmodulen, die dazu genutzt werden können, das Easy-Access-Menü legitimer Benutzer in böswilliger Absicht zu verändern. Die meisten Schwachstellen haben nur geringe Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung. Nur eine Schwachstelle beeinträchtigt die Vertraulichkeit. Dennoch ermöglicht eine der Schwachstellen, die unter CVE-2024-45285 erfasst ist, es einem Angreifer mit geringen Berechtigungen, ein manipuliertes Paket an das anfällige Funktionsmodul zu senden, das auf einen bestimmten Benutzer abzielt. Dieser Benutzer hat dann keinen Zugriff mehr auf die Funktionen der SAP-GUI und erleidet somit einen vollständigen Verlust der Anwendungsverfügbarkeit. Alle anfälligen Funktionsmodule wurden gepatcht, indem der externe Zugriff nicht mehr zugelassen wird.
Der SAP-Sicherheitshinweis Nr. 3505293, der mit einem CVSS-Wert von 4,3 bewertet wurde, behebt eine Sicherheitslücke in SAP for Oil & Gas, die auf einer fehlenden Berechtigungsprüfung beruht. Aufgrund der fehlenden Berechtigungsprüfung könnte ein Angreifer mit nicht-administrativen Benutzerrechten einen remote-fähigen Funktionsbaustein aufrufen, wodurch er Einträge in einer Benutzerdatentabelle löschen könnte. Der Patch fügt eine entsprechende Berechtigungsprüfung hinzu.
Die SAP-Sicherheitshinweise Nr. 3481588 und Nr . 3481992, die beide mit einem CVSS-Wert von 4,3 bewertet sind, beheben zwei Sicherheitslücken im SAP BW (BEx Analyzer), die zur Offenlegung von Informationen führen können. Aufgrund fehlender Berechtigungsprüfungen ermöglichen sie es einem authentifizierten Angreifer, über das Netzwerk auf Informationen zuzugreifen, die ansonsten gesperrt sind.
Zusammenfassung und Schlussfolgerungen
Da es keine neuen HotNews und keine neuen High-Priority-Hinweise gibt, ist der SAP-Patch-Day im September ein weiterer ruhiger Patch-Day. Ein Großteil der Patches in den SAP-Sicherheitshinweisen betrifft Schwachstellen durch fehlende Berechtigungsprüfungen in RFC-fähigen Funktionsbausteinen. Mit großer Freude Onapsis Research Labs dazu beitragen konnten, eine beträchtliche Anzahl dieser Schwachstellen zu identifizieren.
| SAP-Hinweis | Typ | Beschreibung | Priorität | CVSS |
| 3479478 | Aktualisierung | [CVE-2024-41730] Fehlende Authentifizierungsprüfung in SAP BusinessObjects Business Intelligence Platform BI-BIP-INV | Aktuelles | 9.8 |
| 3459935 | Aktualisierung | [CVE-2024-33003] Sicherheitslücke durch Offenlegung von Informationen in SAP Commerce Cloud CEC-COM-CPS-COR | Hoch | 7.4 |
| 3488341 | Neu | [CVE-2024-45286] Fehlende Berechtigungsprüfung in der SAP-Produktions- und Ertragsabrechnung (Tobin-Schnittstelle) IS-OIL-PRA-REV-OW | Mittel | 6.5 |
| 3495876 | Aktualisierung | [Mehrere CVEs] Mehrere Sicherheitslücken im SAP Replication Server (FOSS) BC-SYB-REP | Mittel | 6.5 |
| 3501359 | Neu | [CVE-2024-45279] Cross-Site-Scripting-Sicherheitslücke (XSS) im SAP NetWeaver Application Server für ABAP (CRM Blueprint Application Builder Panel) CA-GTF-PCF | Mittel | 6.1 |
| 3497347 | Neu | [CVE-2024-42378] Cross-Site-Scripting (XSS) in eProcurement auf S/4HANA- , MM-PUR-SSP | Mittel | 6.1 |
| 3477359 | Neu | [CVE-2024-45283] Sicherheitslücke durch Offenlegung von Informationen in SAP NetWeaver AS for Java (Destination Service) BC-JAS-SEC-DST | Mittel | 6.0 |
| 3430336 | Neu | [CVE-2013-3587] Sicherheitslücke durch Offenlegung von Informationen in SAP Commerce Cloud CEC-SCC-PLA-PL | Mittel | 5.9 |
| 3425287 | Neu | [CVE-2024-45281] Sicherheitslücke durch DLL-Hijacking in Platform SAP BusinessObjects Business Intelligence Platform BI-RA-WBI-BE | Mittel | 5.8 |
| 3488039 | Neu | [Mehrere CVEs] Mehrere Sicherheitslücken im SAP NetWeaver Application Server für ABAP und in der Platform- BC-DWB-SEM | Mittel | 5.4 |
| 3505503 | Neu | [CVE-2024-45280] Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP NetWeaver AS Java (Anmeldeanwendung) BC-JAS-SEC-LGN | Mittel | 4.8 |
| 3498221 | Neu | [CVE-2024-44120] Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP NetWeaver Enterprise Portal BC-PIN-PCD | Mittel | 4.7 |
| 3505293 | Neu | [CVE-2024-44112] Fehlende Berechtigungsprüfung in SAP for Oil & Gas (Transport und Vertrieb) IS-OIL-DS-TD | Mittel | 4.3 |
| 3481992 | Neu | [CVE-2024-44113] Sicherheitslücke durch Offenlegung von Informationen im SAP Business Warehouse (BEx Analyzer) BW-BEX-ET-WB-7X | Mittel | 4.3 |
| 3481588 | Neu | [CVE-2024-41729] Sicherheitslücke mit Informationspreisgabe im SAP NetWeaver BW (BEx Analyzer) BW-BEX-ET-WB-7X | Mittel | 4.3 |
| 3437585 | Neu | [CVE-2024-44121] Offenlegung von Informationen in SAP S/4 HANA (Gesetzliche Berichte) FI-LOC-SRF-RUN | Mittel | 4.3 |
| 2256627 | Neu | [CVE-2024-45284] Fehlende Berechtigungsprüfung im SAP Student Life Cycle Management (SLcM) IS-HER-CM | Niedrig | 2.7 |
| 3496410 | Neu | [CVE-2024-41728] Fehlende Autorisierungsprüfung im SAP NetWeaver Application Server für ABAP und in der Platform- BC-DWB-TOO-ABA | Niedrig | 2.7 |
| 3507252 | Neu | [CVE-2024-44114] Fehlende Autorisierungsprüfung im SAP NetWeaver Application Server für ABAP und Platform- -BC-ABA-LA | Niedrig | 2.0 |
Wie immer, die Onapsis Research Labs bereits dabei, die Platform zu aktualisieren, um die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.
Wenn Sie weitere Informationen zu den aktuellen SAP-Sicherheitsproblemen und unseren kontinuierlichen Bemühungen um den Wissensaustausch mit der Sicherheits-Community erhalten möchten, abonnieren Sie unseren „Defenders Digest“-Newsletter.