SAP-Sicherheitshinweise 2016: Ein Jahresrückblick

Seit ihrer Gründung unterstützen die Onapsis Research Labs SAP aktiv bei der Verbesserung ihrer Sicherheit, indem sie Systemschwachstellen untersuchen und melden. Jeden zweiten Dienstag im Monat veröffentlichen die Onapsis Research Labs eine detaillierte Analyse der neuesten SAP-Sicherheitshinweise. Dies trägt dazu bei, unsere Kunden besser dabei zu unterstützen, ihre SAP-Systeme vor den neuesten Bedrohungen zu schützen, und trägt dazu bei, sicherzustellen, dass unsere Produkte so konzipiert sind, dass sie kontinuierlich neue Schwachstellen erkennen. Diese Woche, kurz vor der ersten Analyse der SAP-Sicherheitshinweise 2017, möchten wir Ihnen einen vollständigen Rückblick auf die Ereignisse im Jahr 2016 in Bezug auf die SAP-Sicherheit geben. In diesem Jahresrückblick enthalten ist ein neue Infografik Wir haben die wichtigsten Schwerpunktbereiche des Jahres 2016 zusammengefasst. Sie können es herunterladen hier, oder Sie können weiterlesen, um die in der Infografik aufgeführten Informationen detaillierter zu erkunden.

Zusammenfassung – Historischer Überblick

In diesem Jahr hat SAP insgesamt 317 Sicherheitshinweise veröffentlicht. Im Vergleich zu den 302 im Jahr 2015 veröffentlichten Banknoten entspricht dies lediglich einer Wachstumsrate von 4.3 %, was keine wesentliche Veränderung darstellt. Die folgende Grafik zeigt die Anzahl der in den letzten vier Jahren veröffentlichten Patches:

Bewertung 1

Wie in der Grafik dargestellt, gab es einen ersten Anstieg im Jahr 2008, direkt nachdem Onapsis auf der Black Hat-Konferenz 2007 erstmals Schwachstellen in der RFC-Protokollimplementierung und -Bibliothek vorgestellt hatte. Zu dieser Zeit war die SAP-Sicherheit eine „dunkle Welt“ und im Internet waren nur wenige Informationen über Schwachstellen und Abhilfemaßnahmen verfügbar. Aus diesem Grund wurden bis zu diesem Jahr nur so wenige Sicherheitsscheine freigegeben. In den nächsten zwei Jahren (2008 und 2009) kam es zu einem Anstieg der Anzahl von Sicherheitspatches, der die Anzahl der von 2001 bis 2007 veröffentlichten Sicherheitshinweise übertraf. Interessant ist auch, dass im September 2009, kurz vor dem Exponentielles Wachstum von SAP Security Notes im Jahr 2010 Onapsis wurde offiziell gegründet. Zusammenfassend lassen sich 16 Jahre SAP-Sicherheitshinweise problemlos in drei Phasen einteilen:

  • Die ersten acht Jahre (2001 bis 2008) markierten die Entstehungsgeschichte der SAP-Sicherheit, in dieser Zeit wurden nicht mehr als 100 SAP-Sicherheitshinweise pro Jahr veröffentlicht.
  • Die folgenden vier Jahre (2009 bis 2012) markierten die Explosion. SAP veröffentlicht im Jahr 100 über „2009“ Sicherheitshinweise und im Jahr 2010 über 800 Sicherheitshinweise. In diesen vier Jahren veröffentlichte SAP 15-mal mehr Sicherheitshinweise als in den acht Jahren zuvor zusammen.
  • Schließlich ist die Anzahl der in den letzten vier Jahren veröffentlichten Sicherheitshinweise stabiler und liegt bei durchschnittlich etwa 340 SAP-Sicherheitshinweisen pro Jahr und ohne nennenswerte Unterschiede.

Automatisch oder manuell: Sicherheitshinweise für 2016 installieren

Eine weitere interessante Sache, die es zu analysieren gilt, ist die Methode, mit der ein Sicherheitshinweis installiert werden kann. Im Gegensatz zu anderen Anbietern haben nicht alle Sicherheitshinweise in SAP einen direkten Einfluss auf die Sicherheit nach der Installation. Einige Hinweise erfordern die Durchführung manueller Schritte, um sicherzustellen, dass die Schwachstelle vollständig gepatcht wurde. Je nach Art der erforderlichen Installation können wir die SAP-Sicherheitshinweise in zwei Gruppen einteilen: automatisch und manuell. Die automatischen Notizen erfordern keine zusätzliche Interaktion, damit die Installation wirksam wird. Diese Gruppe machte 71 % der im Jahr 2016 veröffentlichten Sicherheitshinweise aus. Trotz der einfachen Installation bedeutet dies jedoch nicht, dass automatische Hinweise weniger kritisch sind als manuelle. Beispielsweise war der Sicherheitshinweis mit dem höchsten CVSS-Score im Jahr 2016 ein automatischer Hinweis; 1682613 „Fehlende Autorisierungsprüfung im Kerndienst“ mit einem CVSS-Basiswert von 10. Andererseits erfordern die manuellen Hinweise einige zusätzliche und manuelle Schritte, die befolgt werden müssen, um die Installation durchzuführen. Diese Gruppe stellt 29 % der im Jahr 2016 veröffentlichten Sicherheitshinweise dar. Es ist interessant festzustellen, dass der nichtautomatische Sicherheitshinweis-Score mit der höchsten Punktzahl nur einen CVSS von 5.5 aufweist: 2282338; „SAP Download Manager Password Weak Encryption“. Theoretisch sollte es ein gutes Zeichen sein, dass die kritischeren Schwachstellen mit automatischen Notizen gepatcht werden können. Dies trifft größtenteils zu, da es mehrere Sicherheitshinweise gibt, in denen SAP keinen CVSS-Score angibt, sodass diese Hinweise potenziell kritischer Natur sein könnten. Wir können jedoch mit Sicherheit sagen, dass von allen Schwachstellen, die SAP mit einem CVSS-Score veröffentlicht hat, die kritischsten automatisch und ohne manuelle Schritte installiert werden können.

Top 5: Schwachstellentypen des Jahres

In diesem Bereich gibt es keine Überraschungen. Die folgende Grafik fasst die verschiedenen Arten von Schwachstellen zusammen, die 2016 behoben wurden:

Wie erwartet sind „Missing Authority Check“, „Cross-Site Scripting“ und „Information Disclosure“ die häufigsten Schwachstellentypen des Jahres 2016.

Bewertung 2

Dennoch gibt es in den häufigsten Fällen einige unerwartete Fehler. Werfen wir einen Blick auf die Top 5:

  • 1. Fehlende Autorisierungsprüfung: Auch wenn diese Sicherheitslücken in Bezug auf die Menge traditionell sind, 2 dieser Notizen wurden dieses Jahr als „Hot News“-Artikel markiert. Die letzten Hot News, die eine fehlende Autorisierungsprüfung behoben, wurden 2013 veröffentlicht.
  • 2. Cross-Site Scripting (XSS): XSS-Schwachstellen sind eine davon häufigsten Arten von Schwachstellen in der Geschichte der SAP-Sicherheitshinweise, und dieses Jahr war keine Ausnahme.
  • 3. Offenlegung von Informationen: Zusätzlich zu XSS und der Prüfung auf fehlende Autorisierung ist diese Art von Schwachstelle immer vorhanden. Seit 2010 werden jedes Jahr mehr als 30 SAP-Sicherheitshinweise zu Schwachstellen im Bereich Information Disclosure veröffentlicht.
  • 4. Clickjacking: Überraschenderweise taucht diese Art von Bug dieses Jahr in den Top 5 auf. Bisher wurden 29 Sicherheitshinweise zum Thema Clickjacking veröffentlicht 28 davon wurden 2016 veröffentlicht.
  • 5. Umschaltbare Autorisierungsprüfung: Diese Art von Schwachstelle bezieht sich auf Autorisierungsprüfungen, die behoben sind, aber explizit aktiviert werden müssen. 41 % der im Jahr 2016 veröffentlichten SAP-Sicherheitshinweise bezogen sich auf Die umschaltbare Berechtigungsprüfung wurde 2016 veröffentlicht, insgesamt 61 Noten.

Beitrag von Onapsis Research Labs

Wir haben stets daran gearbeitet, SAP dabei zu helfen, ihre Kunden zu schützen. Ein großer Teil dieser Aufgabe besteht darin, Schwachstellen zu finden und diese verantwortungsvoll an Anbieter zu melden, um ihnen zu helfen, ihre Produkte zu patchen, bevor Angreifer sie missbrauchen können. In diesem Jahr wurden 50 Schwachstellen von der gemeldet Onapsis-Forschungslabore wurden von SAP behoben. Diese Patches wurden in 23 SAP-Sicherheitshinweise gruppiert, die je nach betroffener Plattform aufgeteilt werden können. Die meisten der von unseren Forschern gemeldeten Probleme hatten die Priorität „Mittel“ und „Hoch“, was bedeutet, dass sie schnell behoben werden müssen: 

Bewertung 3

Es ist interessant festzustellen, dass drei der neun in diesem Jahr veröffentlichten „Hot News“-Artikel von Onapsis Research Labs gemeldet wurden. Alle drei stehen im Zusammenhang mit Code-Injection-Angriffen:

  • Sicherheitslücke bezüglich Betriebssystem-Befehlseinschleusung in SCTC_*-Funktionsmodulen (2260344):
    • CVSS v3-Basispunktzahl: 9.0.
    • Ausführliche Informationen finden Sie hier: Analyse der SAP-Sicherheitshinweise März 2016.
  • Schwachstelle durch Betriebssystembefehlsinjektion im Bericht für den Terminologieexport (2357141) und Schwachstelle durch Codeinjektion in der Textkonvertierung (2371726):
    • CVSS v3-Basispunktzahl für beide: 9.0.
    • Ausführliche Informationen finden Sie hier: SAP-Sicherheitshinweise November 2016 – Die Rückkehr der OS Command Injection.

Herzlichen Glückwunsch an alle unsere Sicherheitsforscher, die dieses Jahr zusammengearbeitet haben, um den Stand der SAP-Sicherheit weiter zu verbessern.

Fazit: Zeit der Stabilität?

Der Überblick über die SAP-Sicherheitshinweise aus dem Jahr 2016 führt uns zu einer einfachen Frage: Erleben wir derzeit die Zeit der Stabilität? Und wenn ja, bedeutet das Reife? Es scheint, dass die Cybersicherheit für SAP in eine stabilere Ära eintritt, nicht nur aufgrund der geringeren Anzahl behobener Fehler, sondern auch, weil SAP sich jetzt im Vergleich zu vor fünf Jahren um mehr kümmert (mehr als 500 SAP-Sicherheitshinweise). pro Jahr), wie zum Beispiel Clickjacking oder abschaltbare Berechtigungsprüfungen. Das sind gute Nachrichten für Sie! Jetzt gibt es weitere Hinweise und mehr Möglichkeiten, Ihre SAP-Infrastruktur sicher zu halten. Dazu müssen Sie sich jedoch darum kümmern und die Behebung von SAP-Schwachstellen zu einem zentralen Bestandteil Ihrer Sicherheitsstrategie machen. Eine der größten Nachrichten des Jahres 2016 in Bezug auf die Sicherheit geschäftskritischer Anwendungen war die DHS US-CERT-Warnung zu SAP-Geschäftsanwendungen. Dies war der allererste CERT-Alarm für SAP und warnte vor einer SAP-Schwachstelle, die vor über fünf Jahren von SAP gepatcht wurde. Um die Sicherheit Ihrer SAP-Landschaft zu gewährleisten, ist es äußerst wichtig, Ihre Systeme auf dem neuesten Stand zu halten. Denken Sie daran, dass unsere neue Infografik zu den SAP-Sicherheitshinweisen 2016 hier heruntergeladen werden kann: https://www.onapsis.com/resources/infographics. Seien Sie gespannt auf unseren ersten Patch-Dienstag des Jahres 2017, der nächste Woche erscheint!