SAP-Sicherheitshinweise 2016: Ein Rückblick auf das Jahr

Von:

6. Januar 2017

Seit ihrer Gründung Onapsis Research Labs die Onapsis Research Labs SAP aktiv Onapsis Research Labs der Verbesserung der Sicherheit, indem Onapsis Research Labs Systemschwachstellen erforschen und melden. Am zweiten Dienstag jedes Monats Onapsis Research Labs die Onapsis Research Labs eine detaillierte Analyse der neuesten SAP-Sicherheitshinweise. Dies hilft uns, unsere Kunden besser dabei zu unterstützen, ihre SAP-Systeme vor den neuesten Bedrohungen zu schützen, und stellt sicher, dass unsere Produkte so konzipiert sind, dass sie kontinuierlich neue Schwachstellen erkennen. Diese Woche, kurz vor der ersten Analyse der SAP-Sicherheitshinweise für 2017, möchten wir Ihnen einen umfassenden Rückblick auf die Ereignisse des Jahres 2016 im Bereich SAP-Sicherheit präsentieren. Dieser Jahresrückblick enthält eine neue Infografik, die wir erstellt haben, um die wichtigsten Schwerpunkte des Jahres 2016 zusammenzufassen. Sie können sie hier herunterladen oder weiterlesen, um die in der Infografik dargestellten Informationen genauer zu erkunden.

Zusammenfassung – Historischer Überblick

In diesem Jahr hat SAP insgesamt 317 Sicherheitshinweise veröffentlicht. Im Vergleich zu den 302 Hinweisen aus dem Jahr 2015 entspricht dies einem Anstieg von nur 4,3 %, was keine wesentliche Veränderung darstellt. Die folgende Grafik zeigt die Anzahl der in den letzten vier Jahren veröffentlichten Patches:

Rezension 1

Wie aus der Grafik hervorgeht, gab es einen ersten Anstieg im Jahr 2008, unmittelbar nachdem Onapsis auf der Black Hat-Konferenz 2007 erstmals über Schwachstellen in der Implementierung des RFC-Protokolls und der zugehörigen Bibliothek berichtet hatte. Zu dieser Zeit war die SAP-Sicherheit eine „dunkle Welt“, und im Internet waren nur wenige Informationen zu Schwachstellen und Abhilfemaßnahmen verfügbar. Aus diesem Grund wurde bis zu diesem Jahr nur eine so geringe Anzahl von Sicherheitshinweisen veröffentlicht. In den folgenden zwei Jahren (2008 und 2009) stieg die Zahl der Sicherheitspatches an und übertraf die Anzahl der von 2001 bis 2007 veröffentlichten Sicherheitshinweise. Interessant ist auch, dass Onapsis im September 2009, kurz vor dem exponentiellen Anstieg der SAP-Sicherheitshinweise im Jahr 2010, offiziell gegründet wurde. Zusammenfassend lassen sich also 16 Jahre SAP-Sicherheitshinweise leicht in drei Phasen einteilen:

  • Die ersten acht Jahre (2001 bis 2008) markierten die Anfänge von SAP Security; in dieser Zeit wurden nicht mehr als 100 SAP-Sicherheitshinweise pro Jahr veröffentlicht.
  • Die folgenden vier Jahre (2009 bis 2012) waren von einem explosionsartigen Anstieg geprägt. SAP veröffentlichte im Jahr 2009 über „100“ Sicherheitshinweise und im Jahr 2010 über 800 Sicherheitshinweise. In diesen vier Jahren veröffentlichte SAP 15-mal mehr Sicherheitshinweise als in den vorangegangenen acht Jahren zusammen.
  • Schließlich ist die Zahl der in den letzten vier Jahren veröffentlichten Sicherheitshinweise stabiler geblieben und lag im Durchschnitt bei etwa 340 SAP-Sicherheitshinweisen pro Jahr, ohne dass nennenswerte Unterschiede festzustellen waren.

Automatisch oder manuell: Installation der Sicherheitshinweise für 2016

Ein weiterer interessanter Aspekt, den es zu analysieren gilt, ist die Art und Weise, wie ein Sicherheitshinweis installiert werden kann. Im Gegensatz zu anderen Anbietern haben nicht alle Sicherheitshinweise in SAP nach der Installation unmittelbare Auswirkungen auf die Sicherheit. Bei einigen Hinweisen müssen manuelle Schritte durchgeführt werden, um sicherzustellen, dass die Sicherheitslücke vollständig behoben wurde. Je nach Art der erforderlichen Installation lassen sich SAP-Sicherheitshinweise in zwei Gruppen einteilen: automatische und manuelle. Bei den automatischen Hinweisen sind keine zusätzlichen Maßnahmen erforderlich, damit die Installation wirksam wird. Diese Gruppe machte 71 % der im Jahr 2016 veröffentlichten Sicherheitshinweise aus. Trotz der einfachen Installation bedeutet dies jedoch nicht, dass automatische Hinweise weniger kritisch sind als manuelle. So war beispielsweise der Sicherheitshinweis mit dem höchsten CVSS-Wert des Jahres 2016 ein automatischer Hinweis: 1682613 „Fehlende Autorisierungsprüfung im Core Service“ mit einem CVSS-Basiswert von 10. Andererseits erfordern die manuellen Hinweise einige zusätzliche und manuelle Schritte, die befolgt werden müssen, um die Installation durchzuführen. Diese Gruppe macht 29 % der im Jahr 2016 veröffentlichten Sicherheitshinweise aus. Interessant ist, dass der nicht-automatische Sicherheitshinweis mit der höchsten Bewertung nur einen CVSS-Wert von 5,5 aufweist: 2282338; „SAP Download Manager Password Weak Encryption“. Theoretisch sollte es ein gutes Zeichen sein, dass die kritischeren Schwachstellen mit automatischen Hinweisen behoben werden können. Dies trifft größtenteils zu, da es mehrere Sicherheitshinweise gibt, bei denen SAP keinen CVSS-Wert angibt, sodass diese Hinweise potenziell kritischer Natur sein könnten. Mit Sicherheit lässt sich jedoch sagen, dass bei allen von SAP mit einem CVSS-Wert veröffentlichten Schwachstellen die kritischsten automatisch und ohne manuelle Schritte installiert werden können.

Top 5: Die häufigsten Schwachstellentypen des Jahres

In diesem Bereich gibt es keine Überraschungen. Die folgende Grafik fasst die verschiedenen Arten von Sicherheitslücken zusammen, die im Jahr 2016 behoben wurden:

Wie erwartet sind „Missing Authority Check“, „Cross-Site Scripting“ und „Information Disclosure“ die häufigsten Schwachstellentypen des Jahres 2016.

Rezension 2

Dennoch gibt es bei den gängigsten Modellen einige unerwartete Fehler. Werfen wir einen Blick auf die Top 5:

  • 1. Fehlende Autorisierungsprüfung: Obwohl es sich bei diesen Schwachstellen zahlenmäßig um altbekannte Probleme handelt, wurden zwei dieser Meldungen in diesem Jahr als „Hot News“ gekennzeichnet. Die letzte „Hot News“-Meldung, die eine fehlende Autorisierungsprüfung behob, wurde 2013 veröffentlicht.
  • 2. Cross-Site Scripting (XSS): XSS-Schwachstellen gehören zu den häufigsten Arten von Sicherheitslücken in der Geschichte der SAP-Sicherheitshinweise, und dieses Jahr bildete da keine Ausnahme.
  • 3. Offenlegung von Informationen: Neben XSS und fehlenden Autorisierungsprüfungen ist diese Art von Sicherheitslücke stets vorhanden. Seit 2010 werden jährlich mehr als 30 SAP-Sicherheitshinweise zu Sicherheitslücken im Zusammenhang mit der Offenlegung von Informationen veröffentlicht.
  • 4. Clickjacking: Überraschenderweise taucht diese Art von Sicherheitslücke in diesem Jahr unter den Top 5 auf. Bislang wurden 29 Sicherheitshinweise zum Thema Clickjacking veröffentlicht, davon 28 im Jahr 2016.
  • 5. Umschaltbare Berechtigungsprüfung: Diese Art von Schwachstelle betrifft Berechtigungsprüfungen, die zwar fest integriert sind, aber explizit aktiviert werden müssen. 41 % der im Jahr 2016 veröffentlichten SAP-Sicherheitshinweise bezogen sich auf die umschaltbare Berechtigungsprüfung; insgesamt wurden 61 Hinweise veröffentlicht.

Onapsis Research Labs

Wir haben uns stets dafür eingesetzt, SAP beim Schutz seiner Kunden zu unterstützen. Ein wesentlicher Teil dieser Arbeit besteht darin, Sicherheitslücken aufzudecken und diese verantwortungsbewusst an die Anbieter zu melden, damit diese ihre Produkte patchen können, bevor Angreifer sie ausnutzen können. In diesem Jahr wurden 50 Sicherheitslücken gemeldet, die von den Onapsis Research Labs gemeldeten Schwachstellen von SAP behoben. Diese Patches wurden in 23 SAP-Sicherheitshinweise zusammengefasst, die nach der betroffenen platform unterteilt werden können. Die meisten der von unseren Forschern gemeldeten Probleme wurden mit der Priorität „Mittel“ und „Hoch“ eingestuft, was bedeutet, dass sie schnell behoben werden müssen: 

Rezension 3

Es ist interessant festzustellen, dass drei der neun in diesem Jahr veröffentlichten „Hot News“-Meldungen von Onapsis Research Labs stammen. Alle drei beziehen sich auf Code-Injection-Angriffe:

  • Sicherheitslücke durch OS-Befehlsinjektion in SCTC_*-Funktionsmodulen (2260344):
    • CVSS v3-Basiswert: 9,0.
    • Alle Details finden Sie hier: Analyse der SAP-Sicherheitshinweise vom März 2016.
  • Sicherheitslücke durch OS-Befehlsinjektion im Bericht zum Terminologieexport (2357141) und Sicherheitslücke durch Code-Injektion bei der Textkonvertierung (2371726):
    • CVSS v3-Basiswert für beide: 9,0.
    • Alle Details finden Sie hier: SAP-Sicherheitshinweise November 2016 – Die Rückkehr der OS-Befehlsinjektion.

Herzlichen Glückwunsch an alle unsere Sicherheitsforscher, die in diesem Jahr gemeinsam daran gearbeitet haben, die SAP-Sicherheit weiter zu verbessern.

Fazit: Eine Zeit der Stabilität?

Der Überblick über die SAP-Sicherheitshinweise aus dem Jahr 2016 wirft eine einfache Frage auf: Befinden wir uns derzeit in einer Phase der Stabilität? Und wenn ja, bedeutet dies, dass wir einen Reifegrad erreicht haben? Es scheint, als würde die Cybersicherheit für SAP in eine stabilere Ära eintreten, nicht nur wegen der geringeren Anzahl an behobenen Fehlern, sondern auch, weil SAP sich heute im Vergleich zu vor fünf Jahren um mehr Themen kümmert (mehr als 500 SAP-Sicherheitshinweise pro Jahr), wie beispielsweise Clickjacking oder umschaltbare Autorisierungsprüfungen. Das sind gute Nachrichten für Sie! Jetzt gibt es mehr Hinweise und mehr Möglichkeiten, Ihre SAP-Infrastruktur sicher zu halten. Um dies zu erreichen, müssen Sie sich jedoch darum kümmern und die Behebung von SAP-Schwachstellen zu einem zentralen Bestandteil Ihrer Sicherheitsstrategie machen. Eine der größten Nachrichten des Jahres 2016 in Bezug auf die Sicherheit geschäftskritischer Anwendungen war die DHS US-CERT-Warnung zu SAP-Geschäftsanwendungen. Dies war die allererste CERT-Warnung für SAP und warnte vor einer SAP-Schwachstelle, die von SAP bereits vor über fünf Jahren behoben worden war. Es ist äußerst wichtig, Ihre Systeme auf dem neuesten Stand zu halten, um die Sicherheit Ihrer SAP-Landschaft zu gewährleisten. Denken Sie daran: Unsere neue Infografik zu den SAP-Sicherheitshinweisen 2016 können Sie hier herunterladen: https://onapsis.com/resources/infographics. Bleiben Sie dran, denn nächste Woche steht unser erster Patch Tuesday des Jahres 2017 an!

Stichwörter, ,
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen