SAP-Sicherheitshinweise 2017: Trends hin zu mehr Stabilität – was das für Ihre Sicherheitsstrategie bedeutet

Seit ihrer Gründung Onapsis Research Labs die Onapsis Research Labs SAP aktiv Onapsis Research Labs der Verbesserung der Sicherheit, indem sie Bedrohungen und Angriffsvektoren analysieren, die SAP-Anwendungen betreffen. Am zweiten Dienstag jedes Monats Onapsis Research Labs die Onapsis Research Labs eine detaillierte Analyse der neuesten SAP-Sicherheitshinweise Onapsis Research Labs , um sicherzustellen, dass unsere Produkte so weiterentwickelt werden, dass sie kontinuierlich neue Schwachstellen erkennen. Die Ergebnisse veröffentlichen wir, um sowohl unseren Kunden als auch der Community dabei zu helfen, ihre SAP-Systeme vor den neuesten Bedrohungen zu schützen.

Ein weiteres Jahr ist vergangen, und bevor wir uns nächste Woche mit den ersten Patches für 2018 befassen, haben wir uns entschlossen, alle Sicherheitshinweise von SAP aus dem Jahr 2017 zu analysieren. Hier behandeln wir verschiedene Themen, wie beispielsweise die Gesamtzahl der im Jahr 2017 veröffentlichten Sicherheitshinweise, die Anzahl der veröffentlichten „Hot News“-Sicherheitshinweise und nicht zuletzt die Art der darin beschriebenen Sicherheitslücken.

Lesen Sie unseren Blogbeitrag aus diesem Jahr, in dem wir die SAP-Sicherheitshinweise für 2016 zusammenfassen. 

en zum Jahr 2017In diesem Jahr veröffentlichte SAP insgesamt 274 Sicherheitshinweise. Im Vergleich zu den 317 Hinweisen aus dem Jahr 2016 ist dies ein leichter Rückgang. 2017 war das Jahr mit der geringsten Anzahl an veröffentlichten SAP-Sicherheitshinweisen seit 2009, als nur 131 Sicherheitshinweise veröffentlicht wurden. Die folgende Grafik zeigt die Anzahl der im Laufe der Jahre veröffentlichten Patches:

Wie aus der Grafik hervorgeht, ist im Jahr 2008 ein sprunghafter Anstieg zu verzeichnen, unmittelbar nachdem Onapsis auf der Black Hat-Konferenz 2007 erstmals über Schwachstellen in der Implementierung des RFC-Protokolls berichtet hatte. Zuvor war die SAP-Sicherheit eine „dunkle Welt“, und im Internet waren kaum Informationen über Schwachstellen und Abhilfemaßnahmen verfügbar. Aus diesem Grund wurden bis zu jenem Jahr nur so wenige Sicherheitshinweise veröffentlicht. Interessant ist auch, dass Onapsis im September 2009, kurz vor dem exponentiellen Anstieg der SAP-Sicherheitshinweise im Jahr 2010, offiziell gegründet wurde.

Zusammenfassend lassen sich die SAP-Sicherheitshinweise aus sechzehn Jahren leicht in vier Phasen einteilen:

1. Die ersten acht Jahre (2001 bis 2007) markierten die Anfänge von SAP Security; in dieser Zeit wurden nicht mehr als 30 SAP-Sicherheitshinweise pro Jahr veröffentlicht.
2. In den folgenden zwei Jahren (2008 und 2009) stieg die Zahl der Sicherheitspatches an und übertraf die Gesamtzahl der in der vorangegangenen Phase veröffentlichten Sicherheitshinweise.
3. Von 2010 bis 2012 war die Phase des explosionsartigen Anstiegs. SAP veröffentlichte 2009 über hundert Sicherheitshinweise und 2010 über 800 Sicherheitshinweise. In diesen drei Jahren veröffentlichte SAP siebenmal mehr Sicherheitshinweise als in den vorangegangenen neun Jahren zusammen.
4. Schließlich ist die Zahl der in den letzten fünf Jahren veröffentlichten Sicherheitshinweise stabiler geblieben und lag im Durchschnitt bei etwa 340 SAP-Sicherheitshinweisen pro Jahr, ohne nennenswerte Schwankungen.

Die häufigsten Schwachstellentypen des Jahres
In diesem Bereich gibt es einige Überraschungen. Es gibt einige Veränderungen gegenüber dem Vorjahr. Cross-Site-Scripting (XSS) ist die häufigste Schwachstelle, die 2017 in SAP-Software behoben wurde (22 %). Sie rückte vom zweiten auf den ersten Platz vor. XSS-Schwachstellen gehören seit jeher zu den häufigsten Schwachstellentypen in der Geschichte der SAP Security Notes, und dieses Jahr bildete da keine Ausnahme.

„Fehlende Autorisierungsprüfung“ rückt vom ersten auf den zweiten Platz vor (Rückgang von 21 % auf 18 %). Obwohl es sich bei diesen Schwachstellen mengenmäßig um klassische Fälle handelt, wurde in diesem Jahr keiner dieser Einträge als „Hot News“-Thema gekennzeichnet. Tatsächlich wurden nur sechs Einträge als „hohe Priorität“ eingestuft, was lediglich 12 % der Gesamtzahl der Einträge zur „fehlenden Autorisierungsprüfung“ entspricht.

Die Kategorie „Information Disclosure“ komplettiert das Podium mit einem Anteil von 10 % an den Nennungen. Seit 2010 werden jährlich mehr als 30 SAP-Sicherheitshinweise zu Schwachstellen im Bereich „Information Disclosure“ veröffentlicht. Abgesehen von einem Platztausch zwischen dem ersten und zweiten Platz sind die drei am häufigsten behobenen Schwachstellen zwischen 2016 und 2017 unverändert geblieben. Bei den nachfolgenden Schwachstellen lassen sich jedoch Unterschiede feststellen.

Im vergangenen Jahr hat SAP viel Aufwand betrieben, um mehrere SAP-Sicherheitshinweise zu eher seltenen Sicherheitslücken zu veröffentlichen: „Switchable Authorization Checks“ und „Clickjacking“. Angesichts der Bemühungen des Unternehmens im letzten Jahr ist es nachvollziehbar, dass beide Arten von Fehlern 2017 nicht unter den Top 5 zu finden sind. Die Liste wird durch Denial-of-Service-Angriffe (DoS) auf Platz vier mit 27 veröffentlichten Sicherheitshinweisen (was weiteren 10 % entspricht) und schließlich durch SQL-Injection mit nur 5 % der veröffentlichten Hinweise vervollständigt.

Onapsis Research Labs
Wir arbeiten seit jeher mit SAP zusammen, um das Unternehmen beim Schutz seiner Kunden zu unterstützen. Ein wesentlicher Teil dieser Arbeit besteht darin, Schwachstellen aufzudecken und diese verantwortungsbewusst an die Anbieter zu melden, damit diese ihre Produkte patchen können, bevor Angreifer sie ausnutzen können. In diesem Jahr Onapsis Research Labs 65 von den Onapsis Research Labs gemeldete Schwachstellen von SAP behoben (im letzten Jahr meldeten wir 50). Diese Patches wurden in 30 SAP-Sicherheitshinweisen zusammengefasst, die mit folgendem Schweregrad veröffentlicht wurden:

Eine der beiden Sicherheitslücken mit dem höchsten Risiko, die beide mit einem CVSS v3-Basiswert von 9,8 bewertet wurden, wurde von Onapsis Research Labs gemeldet Onapsis Research Labs ist die einzige „Hot News“, die SAP HANA betrifft. Diese Sicherheitslücke betrifft die Self-Service-Komponente und ermöglicht es einem Angreifer, ein SAP-HANA-System vollständig zu kompromittieren, ohne dass Anmeldedaten erforderlich sind.

Dank unserer proaktiven Bemühungen haben wir mehrere Schwachstellen identifiziert, die Angreifer je nach den aktiven Diensten für zwei schwerwiegende Angriffe auf SAP HANA ausnutzen könnten. Diese Angriffe führen zu einer vollständigen Kompromittierung des Systems, ohne dass zuvor eine Authentifizierung erforderlich ist. Der Patch wurde unter dem Titel„Sicherheitslücken in den User-Self-Service-Tools von SAP HANA“ in der SAP-Sicherheitsmitteilung Nr. 2424173 veröffentlicht.

Wir empfehlen dringend, die von SAP veröffentlichten Sicherheitspatches so bald wie möglich zu installieren, da diese Komponente (der Self-Service) möglicherweise in Zukunft aktiviert wird. 

Die zuletzt veröffentlichte „Hot News“ wurde ursprünglich ebenfalls von unserem Team Ende 2016 gemeldet und von SAP im November letzten Jahres erneut veröffentlicht, um einige Probleme bei der Benutzerfreundlichkeit zu beheben, die bei der Installation der vorherigen Version des Patches auftraten. Herzlichen Glückwunsch an alle unsere Sicherheitsforscher, die in diesem Jahr zusammengearbeitet haben, um weiterhin Sicherheitsrisiken zu identifizieren und zu beseitigen, die die Geschäftstätigkeit unserer Kunden gefährden könnten.

Fazit: Zeit für eine Konsolidierung? Was bedeutet das für mich?
Wie wir bereits letztes Jahr in unserem Rückblick „SAP-Sicherheitshinweise 2016: Ein Jahresrückblick“ prognostiziert hatten, zeichnete sich in Bezug auf die Sicherheit der SAP-Software ein gewisser Stabilitätstrend ab: hinsichtlich der Anzahl der veröffentlichten Hinweise, der Art der Schwachstellen und des Schweregrads. Wenn wir die Ereignisse des Jahres 2017 betrachten, sprechen die Zahlen im Grunde für sich: Dieser Trend setzt sich fort. Im vergangenen Jahr verzeichneten wir die geringste Anzahl an SAP-Sicherheitshinweisen seit 2009, und es ist höchst unwahrscheinlich, dass wir in naher Zukunft mehr als 500 Hinweise pro Jahr sehen werden.

Was bedeutet das für die Unternehmenssicherheit? Es ist eine Chance. Stabile Zahlen sind an sich keine gute Nachricht. Ganz gleich, wie viele Sicherheitslücken geschlossen werden – ein Angreifer braucht nur eine einzige, um einen erfolgreichen Angriff durchzuführen. In diesem Sinne hat es keine Auswirkungen auf die Sicherheit, ob in einem Jahr 50 Sicherheitslücken mehr oder weniger auftreten. Dennoch dürfte Stabilität für interne Prozesse von Vorteil sein. Es ist einfacher, ein Team, den Zeitaufwand, Prioritäten und Abläufe festzulegen, wenn man weiß, was auf einen zukommt. Stabilität ist an sich nichts Gutes. Sie ist lediglich eine Chance, die SAP-Sicherheit in Ihrem Unternehmen besser zu definieren, Patches schneller zu installieren und Ihr Sicherheitsrisiko zu verringern.

Aus unserer Sicht werden wir weiterhin daran arbeiten, Schwachstellen vor Angreifern aufzudecken, gemeinsam mit SAP und Anbietern Probleme für die Kunden schnell zu lösen, unsere Produkte um Erkennungsfunktionen zu erweitern und unseren Kunden dabei zu helfen, den Schutz ihrer geschäftskritischen Anwendungen zu verbessern. Es ist unsere Mission, die gesamte Community dazu anzuregen, Risiken bei dieser Art von Anwendungen zu vermeiden, und wir setzen uns dafür ein.

Laden Sie unsere Infografik zu den SAP-Sicherheitshinweisen 2017 herunter, um sich einen schnellen Überblick über die Ereignisse des Jahres zu verschaffen. Und denken Sie daran: Bleiben Sie dran! Der erste Patch Tuesday des Jahres 2018 steht nächste Woche an, und wir werden hier Einzelheiten sowie unsere Analyse veröffentlichen.