SAP-Sicherheitshinweise April 2017: Sicherheitslücken, die SAP TREX betreffen
Wie immer am zweiten Dienstag jedes Monats hat SAP heute seine monatlichen Sicherheitshinweise veröffentlicht. In diesem Monat hat SAP 19 neue Sicherheitshinweise sowie eine Zusammenfassung von 28 verschiedenen Hinweisen veröffentlicht, darunter auch solche, die am letzten Patch Tuesday erschienen sind. Zum zweiten Mal in Folge gibt es einen „Hot News“-Eintrag zum Thema „Remote Code Execution“ (Ausführung von Code aus der Ferne).
Neben den wichtigsten in diesem Monat veröffentlichten Sicherheitshinweisen gibt es verschiedene Arten von Sicherheitslücken im Zusammenhang mit fehlenden Autorisierungsprüfungen und fehlender XML-Validierung. Nachfolgend finden Sie eine Übersicht über die Sicherheitshinweise dieses Monats:
Wie immer wollen wir uns die wichtigsten Hinweise genauer ansehen, damit Sie genau wissen, welche Maßnahmen Sie vorrangig ergreifen müssen, um die Sicherheit Ihrer SAP-Umgebung zu gewährleisten.
Aktuelles: Die Code-Injection-Sicherheitslücke in TREX ist wieder da!
In diesem Monat gibt es nur eine „Hot News“-Meldung:den SAP-Hinweis Nr. 2419592 mit dem Titel „Code-Injection-Sicherheitslücke in TREX / BWA“. Dieser Hinweis ist Teil einer Reihe von Sicherheitshinweisen für TREX, die ursprünglich aufgrund einervon Onapsis im Jahr 2015 gemeldeten Sicherheitslücke ins Leben gerufen wurde. Die internen TREX-Server (Nameserver, Indexserver, Preprocessor und TREX-Webserver) kommunizieren untereinander über TREXNet. TREXNet ist ein internes Kommunikationsprotokoll, das für die TREX-interne Kommunikation entwickelt wurde. Dieses Protokoll erzwingt keinerlei Authentifizierung und wird von TREX benötigt. Wenn es böswilligen Benutzern zugänglich ist, kann es daher einem Angreifer ermöglichen, kritische Befehle aus der Ferne auszuführen, nicht nur zur Abfrage des Systems, sondern auch zur Ausführung von Betriebssystembefehlen. Wie bereits erwähnt, wurde die ursprüngliche Schwachstelle mitdem SAP-Hinweis 2234226 behoben. Später veröffentlichte SAP mit dem SAP-Hinweis 2273881 ein Update zu derselben Schwachstelle. Dieser neue SAP-Hinweis ist bereits der dritte und sehr ähnliche Hinweis in dieser Reihe, der veröffentlicht wurde, um die Ausführung von Befehlen aus der Ferne über TREX zu verhindern.
Weitere Informationen zu TREX-Angriffen finden Sie in verschiedenen Ressourcen unserer Forschungslabore:
-
TROOPERS 2015
Referenten: Sergio Abraham, Security Innovation Lead, Onapsis; Juan Perez-Etchegoyen, CTO, Onapsis;
*HINWEIS: Im Rahmen dieses Vortrags wurde keine Live-Demo gezeigt, da dieser innerhalb des 90-Tage-Zeitraums stattfand, nachdem SAP Sicherheitshinweise zur Behebung dieses Fehlers veröffentlicht hatte. Onapsis veröffentlicht niemals technische Details innerhalb von 90 Tagen nach der Veröffentlichung von Sicherheitshinweisen, um SAP-Kunden ausreichend Zeit für die Installation des Patches zu geben.
-
TROOPERS 2016
DEMO ZUR FERNSTEUERUNG DER CODE-AUSFÜHRUNG
Referenten: Nahuel Sanchez, Sicherheitsforscher, Onapsis
Juan Perez-Etchegoyen, CTO, Onapsis
Es wird dringend empfohlen, den SAP-Sicherheitshinweis Nr. 2419592 so bald wie möglich zu implementieren. Der Beschreibung des Hinweises zufolge handelt es sich um einen Angriff, der dem vor zwei Jahren behobenen ähnelt, was die Wahrscheinlichkeit erhöht, dass ein Angreifer bereits darauf vorbereitet ist, diese Schwachstelle auszunutzen.
Notizen mit hoher Priorität
Zwei Sicherheitshinweise mit hoher Priorität aus dem letzten Monat wurden aktualisiert. Dabei handelt es sich um die SAP-Sicherheitshinweise2391018und2407616. Zu den neuen Sicherheitshinweisen mit hoher Priorität aus diesem Monat gehören:
CVSS v3-Basiswert: nicht veröffentlicht.
CVSS v3-Basiswert: 7,5 / 10
CVSS v3-Basiswert: 7,5 / 10
- Unbefugte Nutzung von Anwendungsfunktionen (#1450166):Mehrere Komponenten wurden gepatcht, um clientseitige Webangriffe wie Cross-Site Request Forgery zu verhindern. Nach ordnungsgemäßer Installation der empfohlenen Support-Pakete wird den Systemen ein neues XSRF-Schutz-Framework hinzugefügt. In diesem Hinweis wird auf über 20 ältere SAP-Sicherheitshinweise verwiesen, die von diesem neuen Framework betroffen sind.
- Sicherheitslücke durch fehlende XML-Validierung in Web Dynpro Flash Island (#2410082):Diese Komponente validiert XML-Dokumente nicht ordnungsgemäß, was zum Abruf beliebiger Dateien vom Server oder sogar zu Denial-of-Service-Angriffen führen kann.
- Sicherheitslücken in SAPLPD (#2421287):In dieser Komponente, die für den Druck unter Microsoft Windows verwendet wurde, wurden Sicherheitslücken entdeckt. Da es neuere und sicherere Druckoptionen gibt, empfiehlt SAP, auf Frontend-Druck oder Backend-Druck umzusteigen, anstatt diese Komponente zu aktualisieren (eine Aktualisierung ist nur zulässig, wenn Kompatibilitätsprobleme bestehen).
- SQL-Injection-Sicherheitslücke in Database Monitors for Oracle (#2319506):aktualisiert in Hinweis #2418823; Support-Pakete beheben einen SQL-Injection-Angriff auf der Datenbankebene.
CVSS v3-Basiswert: 7,2 / 10.
Fazit
Nach einem recht umfangreichen März-Update, das die kritischste Sicherheitsmeldung des Jahres enthielt (SAP-HANA-Self-Service-Sicherheitslückemit CVSS 9,8 sowie weitere relevante Meldungen mit hoher Priorität), ist dies der zweite Monat in Folge, in dem Sicherheitslücken im Zusammenhang mit der Remote-Code-Injektion auftreten. Daher sollte der SAP-Sicherheitshinweis Nr. 2419592gegenüber den anderen Meldungen Vorrang haben, da er eine ähnliche Angriffsmethode impliziert wie die beiden zuvor genannten Sicherheitslücken, die TREX betreffen.
Zudem sollte man bedenken, dass mehr als 20 Notizen automatisch implementiert werden können, ohne dass die Schritte manuell ausgeführt werden müssen. Dies sollte Ihrem Unternehmen dabei helfen, bei der Implementierung aller neuen Notizen Prioritäten zu setzen, da deren Implementierung weniger Zeit in Anspruch nimmt als bei solchen, die manuelle Schritte erfordern.