SAP-Sicherheitshinweise April 2018: Annahmen überprüfen

Von:

10. April 2018

Am heutigen SAP Security Patch Day wurde im Vergleich zum regulären zweiten Dienstag des Monats eine moderate Anzahl von Sicherheitshinweisen veröffentlicht. Heute wurden 12 Hinweise veröffentlicht, womit sichdie Gesamtzahl der seit dem Patch Day des letzten Monats veröffentlichten Hinweise auf 16 erhöht. 

Wir sehen hier die Veröffentlichung derersten„Hot News“-Meldungdes Jahres 2018. Es wurden vier Meldungenmit hoher Prioritätveröffentlicht; zwei davon betreffen eine Sicherheitslücke, die ursprünglich von Onapsis entdeckt wurde. Tatsächlich enthalten diese Meldungen Aktualisierungen des ursprünglich veröffentlichten Patches, nachdem Onapsis diesen getestet und für unzureichend befunden hatte. Das zeigt einmal mehr, dass wir uns niemals einfach auf unsere Annahmen verlassen sollten. 

Gemeldet von Onapsis – Update: Code-Injection-Sicherheitslücke in Visual Composer
In unseremBlogbeitrag vom August letzten Jahreshaben wir eine von Onapsis im Visual Composer entdeckte Sicherheitslücke behandelt. Der Fehler wurde als Meldungmit hoher Priorität(#2376081) und einem CVSS-Score von 7,4 veröffentlicht. Die Sicherheitslücke ermöglichte es Angreifern, bösartigen Code in die Backend-Anwendung einzuschleusen, indem sie eine speziell gestalteteHTTP-GET-Anfragean Visual Composer sendeten. Allein durch den Zugriff von Endnutzern auf die speziell gestaltete URL konnten unerwünschte Anwendungen potenziell von einem Angreifer auf dem Client-Rechner gestartet werden: Remote-Code-Ausführung.

Nach dem Absenden des eingeschleusten Codes gab der Server eine.xlsx-Datei (Excel) zurück, in der der Schadcode als Formel in eine der Zellen eingebettet war.OWASP behandelt das Einschleusen von Code in Tabellenzellen auf seiner Seite zum Thema „CSV-Injection“. Ersetzt man auf der OWASP-Seite das AkronymCSVdurchXLSX, lässt sich der Text auch im Hinblick auf diese Schwachstelle lesen. Die Seite beschreibt, welche Zeichen auf der Serverseite bereinigt werden sollten, um das Risiko zu beheben. In dem oben genannten SAP-Sicherheitshinweis finden wir eine Lösung:„Beim Export nach Excel wird nun der gesamte von Visual Composer empfangene Eingabestrom auf [eine] Code-Injection-Schwachstelle überprüft.“ 

Nachdem SAP den Patch veröffentlicht hatte, stellten die Onapsis-Forscher Nicolás Raus undPablo Artusofest, dass die Sicherheitslücke weiterhin ausgenutzt werden konnte. Der veröffentlichte Patch basierte darauf, dass ein Angreifer eineGET-Anfragemit Abfrageparametern sendete. Der Patch konnte jedoch umgangen werden, indem stattdessen einePOST-Anfragegesendet wurde, deren Hauptteil den Code enthielt, der in die zurückgegebeneXLSX-Dateieingeschleust werden sollte. 

SAP hat denursprünglichen Hinweiserneut veröffentlicht und dabei auf einen neu veröffentlichten Hinweis (#2552318) verwiesen, der die gefundene Sicherheitslücke behebt. Unsere Forscher prüfen derzeit, ob der Patch die Sicherheitslücke dieses Mal ausreichend behebt.Wir empfehlen Ihnen erneut,diesen Hinweis zu prüfen, um sicherzustellen, dass Ihre Mitarbeiter, Kunden und/oder Partner nicht zu Opfern werden.

Aktuelles und Hohe Priorität
Der in diesem Monat veröffentlichteHot News-Hinweis (#2622660) fasst mehrere Sicherheitslücken zusammen. Dies ist etwas, was wir in den letzten Monaten bei SAP häufiger beobachtet haben. Die Fehler betreffen Sicherheitslücken in Webbrowser-Steuerelementen, die zur Anzeige von Seiten im SAP Business Client 6.5 PL5 verwendet werden. Webbrowser-Steuerelemente sind programmierbare Bausteine, mit denen Softwareentwickler Webseiten in ihre Anwendungen einbetten können. 

Es wurden Sicherheitslücken in den Browser-Komponenten des Microsoft Internet Explorer (IE) und des Open-Source-Browsers Chromium entdeckt. Bei Letzterem wurden mehrere Schwachstellen festgestellt, darunter Speicherbeschädigungen, die Offenlegung von Informationen und weitere. Auch wenn dies in der SAP-Mitteilung nicht ausdrücklich erwähnt wird, ist davon auszugehen, dass beim IE ähnliche Sicherheitslücken bestehen. 

Um sich vor den im control vorhandenen Sicherheitslücken zu schützen, wird empfohlen, einfach den Windows-Update-Prozess zu befolgen. Der Grund dafür ist, dass das control den IE auf Bibliotheken zurückgreift, die zusammen mit anderen Windows-Updates gepatcht werden. Was Chromium betrifft, so control vollständige control mit dem SAP Business Client bereitgestellt. Um dieses control zu patchen, ist die Anwendung der im Hinweis genannten Support-Package-Patches erforderlich. 

Im Folgenden werden die beiden verbleibenden Notizenmit hoher Prioritätbehandelt:
 

  • Denial-of-Service (DOS) in SAP Business One(#2587985) –Diese Sicherheitslücke hat einen CVSS-Wert von 7,5. Business One ist das schlankere ERP-System von SAP, das für kleine und mittlere Unternehmen entwickelt wurde. Der Fehler liegt eigentlich in Apache vor und entsteht durch die Verwendung von Apache als HTTP-Server in der Service-Schicht von Business One. Der Fehler ermöglicht es einem Angreifer, einen Segmentierungsfehler auszulösen, indem er gezielt eine bestimmte Abfolge von Request-Headern an den Server sendet. EinSegmentierungsfehlertritt auf, wenn ein Programm versucht, an einer Speicheradresse zu lesen oder zu schreiben, an der es dies nicht darf. EinSegfaultführt zum Absturz des Programms. In diesem Fall kann derSegfaultaufgrund einer unzureichenden Validierung der Benutzereingaben in der Apache-Funktionap_get_token() ausgelöst werden. Diese Funktion darf über das Ende ihrer Eingabezeichenfolge hinaus suchen, was zu einem Pufferüberlauf führt. Weitere Informationen finden Sie unterCVE-2017-7668.

Die beiden oben genannten Hinweise verdeutlichen erneut das Risiko, das mit der Verwendung von (Open-Source-)Bibliotheken von Drittanbietern in proprietärer Software verbunden ist. Wir haben dies ausführlich inunserem Blogbeitrag vom letzten Monatbehandelt, in dem wir über die Risiken von Open Source gesprochen haben.
 

  • [CVE-2018-2408] Unsachgemäße Sitzungsverwaltung in SAP Business Objects – CMC/BI Launchpad/Fiorified BI Launchpad(#2537150) –Diese Sicherheitslücke hat einen CVSS-Wert von 7,3. Business Objects (BO oder BOBJ) ist die Frontend-Anwendungssuite von SAP, mit der Kunden Business-Intelligence-Daten effektiv verarbeiten und visualisieren können. Die in diesem Hinweis beschriebene BOBJ-Sicherheitslücke führt dazu, dass bestehende Benutzersitzungen auch nach einer Passwortänderung aktiv bleiben. Nach der Installation der im Hinweis genannten Support-Package-Patches wird vor einer Passwortänderung eine Warnmeldung angezeigt, die den Administrator darauf hinweist, dass die aktiven Sitzungen des Benutzers, dessen Passwort geändert wurde, beendet werden müssen. Nach erfolgreicher Passwortänderung werden die aktiven Sitzungen dann beendet.

Fazit: „
“ in diesem Monat 

Nicolás Raus undPablo Artusovon den Onapsis Research Labs wurden von SAP auf dessen Webseite für ihre Zusammenarbeit bei der kontinuierlichen Verbesserung der SAP-Sicherheit gewürdigt. Wie immer arbeiten wir daran, dieOnapsis Security Platformzu aktualisieren, um diese neu veröffentlichten Sicherheitslücken zu berücksichtigen. Dadurch können unsere Kunden überprüfen, ob ihre Systeme auf dem neuesten Stand der SAP-Sicherheitshinweise sind, und sicherstellen, dass diese Systeme mit dem erforderlichen Sicherheitsniveau konfiguriert sind, um ihre Audit- und Compliance-Anforderungen zu erfüllen.

Stichworte, , ,
Über den Autor

Waldo Spek

Waldo Spek ist ein versierter Experte für Cybersicherheit mit umfassender Erfahrung im Schutz von Unternehmenssystemen und im Management von IT-Sicherheitsrisiken. Als Spezialist für SAP-Sicherheit und Compliance hat Waldo eine entscheidende Rolle dabei gespielt, Unternehmen beim Schutz ihrer wichtigsten Geschäftsanwendungen zu unterstützen. Seine Fachkenntnisse im Bereich Schwachstellenmanagement, kombiniert mit seinem strategischen Ansatz zur Cyberabwehr, stellen sicher, dass Unternehmen gut gerüstet sind, um mit sich ständig weiterentwickelnden Bedrohungen umzugehen und gleichzeitig die Betriebsintegrität aufrechtzuerhalten.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen