SAP-Sicherheitshinweise April 2019: SAP erweitert kritischen XXE-Patch auf JAVA und HANA

SAP hat die Sicherheitshinweise für April veröffentlicht; nachstehend finden Sie die AnalyseOnapsis Research Labs. In diesem Monathat SAP einen Patch für einen Fehler veröffentlicht, den Onapsis im Zusammenhang mit einer XML-External-Entity-Schwachstelle (XXE) in der SLD-Registrierung gemeldet hatte, die zuvor bereits für ABAP und XSA behoben worden war.SAP hat einen neuen Sicherheitshinweis für die SLD-Registrierung in SAP HANA hinzugefügt und den bereits veröffentlichten Hinweis um JAVA erweitert. Mit dem neu veröffentlichten Hinweis kann die Komponente in NetWeaver ABAP, JAVA und SAP HANA (sowie an einem Einstiegspunkt in SAP HANA XSA) aktualisiert und behoben werden. Darüber hinaus enthalten die Sicherheitshinweise vom April Folgendes:

• Ein Update für eine bekannteHotNews-Meldung mit Sicherheitsupdates für das Browser control Chromium
• Zwei Hinweisemit hoher Priorität, die SAP NetWeaver Process Integration und SAP Crystal Reports betreffen
• Ein SAP-Sicherheitshinweis, der eine fehlende Berechtigungsprüfung für NetWeaver ABAP und S/4HANA behebt.

Sicherheitslücke durch externe XML-Entitäten in SAP HANA„
“nun behobenDer Blogbeitrag vom letzten Monatenthielt Einzelheiten zur SAP-Sicherheitsnotiz Nr. 2764283bezüglich einerSicherheitslücke durch externe XML-Entitäten in SAP HANA „Extended Application Services, Advanced“. Dieser kritischen Sicherheitslücke sollte besondere Aufmerksamkeit geschenkt werden, da sie aufgrund ihrer einfachen Ausnutzbarkeit und der potenziellen negativen Auswirkungen auf die Geschäftskontinuität mit hoher Wahrscheinlichkeit bei gezielten Angriffen genutzt werden könnte. Ohne Patch würde die Schwachstelle es einem Angreifer ermöglichen, aus der Ferne auf kritische Dateien auf dem Server zuzugreifen und beliebigen benutzerdefinierten Code der Web-App zu stehlen (Vertraulichkeit). Der Angreifer könnte zudem einen Denial-of-Service-Angriff (DoS) auslösen, indem er eine auf XSA laufende Web-App stoppt, was dazu führt, dass Systeme offline gehen und nicht mehr verfügbar sind (Verfügbarkeit). Dieser Fehler hat einen CVSS v3.0-Wert von 8,7 und wurde bei Untersuchungen zu SAP HANA XSA entdeckt; die betroffene Komponente ist jedoch auch in anderen Plattformen vorhanden. Aus diesem Grund hat SAP Patches für andere Plattformen veröffentlicht, wie beispielsweise den SAP-Sicherheitshinweis Nr. 2729710 (ursprünglich im Februar veröffentlicht) und den kürzlich veröffentlichten SAP-Sicherheitshinweis Nr. 2772376.

Der Sicherheitshinweis Nr. 2729710(CVSS v3.0 von 6.0) wurde ursprünglich für SAP NetWeaver ABAP veröffentlicht, wurde jedoch diesen Monat mit neuen Informationen zu „Symptomen“ und „Lösungen“ aktualisiert, um Java Server einzubeziehen. SicherheitshinweisNr. 2772376(CVSS v3.0 von 5.1) ist ein neuer SAP-Sicherheitshinweis, der das Update für eine gesicherte und korrigierte SLDREG-Komponente für SAP HANA enthält, einschließlich Updates für SAP HANA 1.00 und 2.00 (SAP HANA 2.0 SPS04 ist nicht betroffen, daher ist kein Patch erforderlich).

Eine fehlende Berechtigungsprüfung ist für XSA besonders kritisch, da es Hinweise darauf gibt, dass der Angriff aus der Ferne ausgeführt werden könnte; dennoch sollte das Problem auch auf anderen Plattformen ordnungsgemäß behoben werden. Derzeit ist bekannt, dass der Angriff lokal ausgeführt werden kann, doch weitere Untersuchungen könnten andere, bislang unentdeckte Einfallstore für Angriffe aus der Ferne aufdecken.

Fehlende Berechtigungsprüfungen betreffen SAP NetWeaver- und S/4HANA-
Fehlende Berechtigungsprüfungen gehören zu den häufigsten Schwachstellen in SAP-Software und machen etwa 15 % aller SAP-Sicherheitshinweise aus. Heute wurde ein neuer Patch veröffentlicht, der drei von unserem leitenden ForscherMatias Sena gemeldete Schwachstellen behebt. Der SAP-Sicherheitshinweis Nr. 2753629(CVSS v3.0 von 5,5) „Fehlende Autorisierungsprüfung für ABAP-INST-Funktionsbaustein“ wurde mitmittlerer Prioritätveröffentlicht und enthält eine korrigierte Version des betroffenen Moduls sowohl für SAP NetWeaver als auch für SAP S/4HANA, sowohl für On-Premise- als auch für cloud.

Wie der Titel schon andeutet, wurden bei verschiedenen ABAP-Funktionen, die die Verwaltung von RFC-Verbindungen ermöglichen (Auflisten, Anlegen, Ändern, Aktivieren oder Löschen), fehlende oder unzureichende Autorisierungsprüfungen festgestellt. Auf dieser Grundlage kann ein Angreifer potenziell Informationen über Verbindungen zwischen SAP-Systemen sammeln, die Kommunikation zwischen diesen Systemen stören (indem er einige dieser RFC-Verbindungen löscht) oder sogar einen Man-in-the-Middle-Angriff (MitM) durchführen (weitere Details finden Sie unter anderem imBlogbeitrag „Onapsis SAP Security Notes December ‘18“).

Es ist wichtig zu erwähnen, dass der Patch zwar mitmittlerer Priorität veröffentlicht wurde, die Fehler jedoch denen ähneln, die bereits im Dezember behoben wurden (ebenfalls von demselben Forscher gemeldet), wobei diese als Hinweismit hoher Prioritätveröffentlicht wurden und einen CVSS v3.0-Wert von 8,3 aufwiesen.
  
Weitere HotNews und Hinweise mit hoher Priorität
Die einzige in diesem Monat veröffentlichteHotNewsist ein weiteres Update zum bekannten Hinweis#2622660, „Sicherheitsupdates für das mit SAP Business Client ausgelieferte Control “. Dies ist das dritte Mal in diesem Jahr, dass es ein Update für diesen Hinweis gibt (er wurde seitseiner ersten Veröffentlichung im April 2018 achtmal aktualisiert). Dieser Hinweis behebt mehrere Sicherheitslücken im control eines Drittanbieters, das im SAP Business Client verwendet wird und regelmäßig auf Basis von Webbrowser-Updates aktualisiert wird. Da Exploits für Tools von Drittanbietern häufiger vorkommen als SAP-spezifische Exploits, die in der Regel gezielter und selektiver sind, ist es wichtig, diesen Hinweis bei jedem Update installiert zu lassen, um die Sicherheit zu gewährleisten.

Was Notizenmit hoher Prioritätbetrifft, hat SAPden Patch #2687663veröffentlicht, der eine Sicherheitslücke im Crystal Reports .NET SDK Webform Viewer behebt, durch die Datenbankinformationen offengelegt werden können. Dabei handelt es sich um ein Entwicklertool, das zur Erstellung von Berichten und platform verwendet wird. Wenn Sie dieses Tool nutzen, empfehlen wir Ihnen, den Patch zu installieren, da sensible Informationen, darunter auch Anmeldedaten, von dieser Offenlegung betroffen sein können.

In SAP NetWeaver Process Integration wurde eine weitere Sicherheitslücke im Zusammenhang mit gefälschten digitalen Signaturen entdeckt (Hinweis Nr. 2747683). Wird diese Sicherheitslücke ausgenutzt, könnte ein Angreifer kritische Informationen abrufen oder verändern, indem er beliebige Anfragen und XML-Dokumente sendet, die die Signaturprüfung des Servers umgehen.

Zusammenfassung und Schlussfolgerungen
SAP hat im April insgesamt 11 Sicherheitshinweise und Ende März drei weitere veröffentlicht.Wir empfehlen Ihnen, diese kritischen SAP-Sicherheitshinweise(darunter zwei Hinweisemit hoher Priorität, die viele SAP-Kunden betreffen)aufgrund ihrer erheblichen Auswirkungen auf die Sicherheitzu installieren.

Nachfolgend finden Sie eine Übersicht über die Art der Fehler, die SAP diesen Monat im Rahmen seiner Sicherheitshinweise behoben hat:

In diesem Monathat SAP Forscher von Onapsis gewürdigt, die SAP dabei unterstützt haben, die Sicherheit und Integrität der Systeme ihrer Kunden zu verbessern. Wie bei Onapsis üblich, arbeiten wir daran, dieOnapsis Security Platformzu aktualisieren, um diese neu veröffentlichten Sicherheitslücken zu berücksichtigen. Dadurch können unsere Kunden überprüfen, ob ihre Systeme auf dem neuesten Stand der SAP-Sicherheitshinweise sind, und sicherstellen, dass die Systeme mit dem erforderlichen Sicherheitsniveau konfiguriert sind, um ihre Audit- und Compliance-Anforderungen zu erfüllen.

Bitteabonnieren Sie unseren ERP-Sicherheitsblogoderfolgen Sie uns auf Twitter, um weitere Informationen zu den neuesten SAP-Sicherheitsproblemen zu erhalten.