SAP-Sicherheitspatches April 2020: 5 Top-Nachrichten und insgesamt 29 Korrekturen für SAP-Produkte

Von:

14. April 2020

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom April gehören:

  • Zusammenfassung für April—29 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter 5 HotNews-Hinweise und 5 Hinweise mit hoher Priorität
  • Onapsis hat bei den Sicherheitshinweisen mit hoher Priorität geholfen—Die Onapsis Research Labs 6 von 10 Sicherheitshinweisen, die als „High Priority“ oder „HotNews“ gekennzeichnet waren, und halfen SAP dabei, diese zu beheben  
  • Patches für verschiedene Plattformen—Zu den wichtigsten Patches gehören unter anderem Korrekturen für Plattformen wie SAP Portal, SAP Commerce, Solution Manager (SolMan) und SAP Host Agent 

In diesem Monat hat SAP 29 neue und aktualisierte SAP-Sicherheitshinweise veröffentlicht – die höchste Anzahl in diesem Jahr –, nachdem im Januar und Februar 12 neue und im vergangenen März 22 neue veröffentlicht worden waren. Ein Drittel der veröffentlichten Hinweise wurde als wichtig eingestuft, darunter fünf Hinweise mit hoher Priorität und fünf HotNews ( womit zum ersten Mal seit Dezember 2014 in einem Monat eine solche Anzahl an HotNews-Hinweisen veröffentlicht wurde). Sechs dieser 10 SAP-Sicherheitshinweise wurden aufgrund von Meldungen und Unterstützung durch Onapsis behoben, darunter Korrekturen in Plattformen wie SAP Portal, SAP Commerce, SolMan und SAP Host Agent. Die Onapsis Research Labs ihre Analyse der SAP-Sicherheitshinweise dieses Monats, um SAP-Kunden dabei zu helfen, Prioritäten richtig zu setzen, Patches zu installieren und so die Sicherheit ihrer Systeme zu gewährleisten.

Von Onapsis gemeldete HotNews-Korrekturen in mehreren Produkten

Der SAP-Sicherheitshinweis Nr. 2904480mit dem Titel „Missing XML Validation Vulnerability in SAP Commerce“ weist mit 9,3 für CVE-2020-6238 den höchsten CVSS-Wert unter den in diesem Monat veröffentlichten Hinweisen auf. SAP Hybris ist eine Java-basierte platform unter anderem Lösungen für den B2B- und B2C-Handel bereitstellt. Diese Schwachstelle ist in SAP Hybris mit einer Standardkonfiguration vorhanden und kann von einem nicht authentifizierten Angreifer aus der Ferne ausgenutzt werden. Sie könnte es einem böswilligen Akteur potenziell ermöglichen, sensible Dateien und Daten aus dem System auszulesen und sogar die Verfügbarkeit zu beeinträchtigen (in einigen begrenzten Szenarien). SAP hat Patches sowohl für SAP Hybris-On-Prem-Implementierungen als auch für SAP Commerce Cloud bereitgestellt.

Der SAP-Sicherheitshinweis Nr. 2896682mit dem Titel „Verzeichnisüberquerungs-Schwachstelle in SAP NetWeaver (Knowledge Management)“ ist einer von vier Hinweisen mit einem CVSS-Wert von 9,1, die diesen Monat veröffentlicht und als „HotNews“ gekennzeichnet wurden. Es ist zudem der zweite neue Patch, den SAP mit Unterstützung und Hilfe von Onapsis entwickelt hat. Diese als CVE-2020-6225 identifizierte Schwachstelle ist ein Path-Traversal-Fehler in SAP NetWeaver Knowledge Management, einem zentralen Zugriffspunkt für verteilte Dateirepositorys im gesamten System. Sie ermöglicht es Benutzern, durch Ordner zu navigieren, Dateien zu erstellen, zu löschen usw. Bei all diesen Funktionen kann ein Benutzer Dateien hochladen. Ohne Patch überprüft das System die Eingaben nicht ausreichend und ermöglicht es einem potenziellen Angreifer daher, beliebige Dateien auf dem Remote-Server zu überschreiben, zu löschen oder zu beschädigen.

SAP-Patch-Tag 1

SAP hat außerdem den Sicherheitshinweis Nr. 2839864 veröffentlicht, der die bereits in den Sicherheitshinweisen Nr. 2808158 und Nr. 2823733 veröffentlichten Korrekturen ersetzt. Alle diese Hinweise enthalten verbesserte Korrekturen für von Onapsis gemeldete Sicherheitslücken im Zusammenhang mit der Befehlsinjektion im Betriebssystem (OS) des SAP Diagnostics Agent. In diesem neuesten Update hat SAP den Abschnitt „Anhänge“ aktualisiert und eine Korrektur in einer der dem Hinweis beigefügten Dateien hinzugefügt. Wenn Sie den Umfang und die Schwere dieser Sicherheitslücke besser verstehen möchten, können Sie unseren Blogbeitrag vom Juli 2019 lesen, in dem wir diese Sicherheitslücke erstmals nach ihrer Behebung erläutert haben, oder unseren Blogbeitrag vom September 2019, als SAP die Korrektur verbesserte, um weitere Szenarien abzudecken. Wir können bestätigen, dass es sich bei diesem neuesten Update um ein geringfügiges Update handelt, das die Anhänge zur Anpassung des Schutzes nach dem Patch verbessert. Kunden, die den Patch vom März angewendet haben, sind vor einer kritischen Ausnutzung dieser Sicherheitslücke geschützt.

Von Onapsis gemeldete Korrekturen für Notizen mit hoher Priorität in SolMan und SAP Host Agent

Onapsis arbeitete zudem mit SAP zusammen und berichtete, dass drei von fünf Sicherheitshinweisen mit hoher Priorität heute behoben wurden, darunter ein weiterer Authentifizierungsumgehungsfehler in SolMan sowie mehrere Sicherheitslücken, die eine Rechteausweitung ermöglichen.

Der SAP-Sicherheitshinweis Nr. 2906994 behebt eine als CVE-2020-6235 identifizierte Sicherheitslücke mit einem CVSS-Wert von 8,6. Er behebt eine fehlende Authentifizierungsprüfung in SAP SolMan, die es einem Angreifer ermöglichen könnte, sensible Informationen auszulesen oder sogar auf administrative oder andere privilegierte Funktionen zuzugreifen, indem er das Fehlen einer Authentifizierungsprüfung in einer Komponente ausnutzt. Diese Schwachstelle weist, obwohl sie etwas weniger kritisch ist (der CVSS-Vektor betrifft nur die Vertraulichkeit), einige Ähnlichkeiten mit derjenigen auf, die in SAP-Sicherheitshinweis Nr. 2890213 behoben wurde – ein HotNews-Thema, das wir bereits in unserem Blogbeitrag vom März 2019 erläutert haben. Beide Schwachstellen ermöglichen es einem nicht authentifizierten Angreifer, privilegierten Zugriff auf SolMan zu erlangen, und in Kombination mit anderen Schwachstellen können sich im Falle eines Angriffs kritische Szenarien für betroffene Kunden ergeben.

Schließlich hat SAP in diesem Monat außerdem zwei Sicherheitshinweise veröffentlicht, die Sicherheitslücken im Zusammenhang mit der Rechteausweitung in SAP Landscape Management (#2902456) und SAP Host Agent (#2902645) beheben; beide wurden mit „hoher Priorität“ eingestuft und weisen einen CVSS-Wert von 7,2 auf. Beide Patches schützen SAP-Kunden davor, dass potenzielle Angreifer mit Administratorrechten im System diese Rechte auf Root-Rechte auf Betriebssystemebene ausweiten können.

Weitere wichtige SAP-Sicherheitshinweise im April

Eine SAP-Lösung, die vom Patch Day im April überdurchschnittlich stark betroffen ist, ist SAP BusinessObjects. Für diese Lösung gibt es acht SAP-Sicherheitshinweise, die verschiedene Arten von Sicherheitslücken abdecken, wobei drei davon als kritisch eingestuft sind:

Der HotNews-Hinweis Nr. 2863731 beschreibt die Möglichkeit einer Remote-Befehlsausführung, die durch einen Deserialisierungsangriff in Platform SAP BusinessObjects Business Intelligence Platform verursacht wird. Die Parameter einer bestimmten Komponente können manipuliert werden, um deserialisierte Inhalte einzuschleusen. Der bereitgestellte Fix aktiviert die Datenverschlüsselung für den Datenverkehr zwischen Client und Server, sodass dieser nicht mehr gelesen werden kann. SAP hat diese Sicherheitslücke mit einem CVSS-Wert von 9,1 bewertet.

Ein weiterer Teil der oben genannten spezifischen Komponente ist ebenfalls an der Sicherheitslücke beteiligt, die mit dem aktualisierten Hinweis mit hoher Priorität Nr. 2861301 beschrieben und behoben wurde. Diese Sicherheitslücke ermöglicht zwar ebenfalls die Remote-Ausführung von Code und hat noch schwerwiegendere Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung, erfordert jedoch im Gegensatz zu Nr. 2863731 eine Benutzerinteraktion. Letzteres führt zu einem CVSS-Wert von 8,1 und damit zu einer hohen Priorität.     

Der SAP-Sicherheitshinweis Nr. 2898077 ist der zweite Hinweis mit hoher Priorität für SAP BusinessObjects am heutigen Patch Day und behebt eine Sicherheitslücke, die zur Offenlegung von Informationen führen kann. Ein nicht authentifizierter Benutzer könnte diese Sicherheitslücke mit einem CVSS-Wert von 7,5 in einer bestimmten Webanwendung von SAP BusinessObjects ausnutzen, um an Informationen zu gelangen, die anschließend für weitere Exploits und/oder Angriffe genutzt werden können. 

Der HotNews-Hinweis Nr. 2900118 vervollständigt die Reihe der im April veröffentlichten kritischen Hinweise. Er behebt eine Code-Injection-Sicherheitslücke in SAP OrientDB 3.0. SAP OrientDB ist eine multimodale, graphbasierte NoSQL-Datenbank, die SAP im Jahr 2018 von Callidus Software Inc. übernommen hat. Da ein Angreifer Authentifizierungs- und Skriptausführungsrechte benötigt, wird die Sicherheitslücke mit einem CVSS-Wert von 9,1 bewertet.

Zusammenfassung und Schlussfolgerungen

Unter Berücksichtigung des SAP-Sicherheitshinweises Nr. 2863396 mit dem Titel „Remote unauthenticated log injection in SAP BusinessObjects Business Intelligence Platform(mit mittlerer Priorität) Onapsis Research Labs die Onapsis Research Labs erneut einen wesentlichen Beitrag zum SAP-Patch-Day im April geleistet, indem sie insgesamt sechs Fehlerbehebungen beigesteuert haben. Daher hat SAP auf seiner Webseite fünf Onapsis-Forscher gewürdigt und damit die kontinuierliche Zusammenarbeit mit Forschern auf der ganzen Welt hervorgehoben. 

Angesichts der beeindruckenden Anzahl von Korrekturen (29) für verschiedene SAP-Produkte – darunter fünf HotNews und fünf Hinweise mit hoher Priorität – sollten die Hinweise dieses Monats sorgfältig geprüft und die kritischsten davon entsprechend priorisiert werden.

Schließlich machen diese beiden Kategorien – mit sieben gemeldeten Cross-Site-Scripting-Schwachstellen und sechs Schwachstellen aufgrund fehlender Autorisierung in verschiedenen SAP-Softwareprodukten – erneut den Großteil der veröffentlichten Probleme aus:
 

SAP-Patch-Tag

Wie immer Onapsis Research Labs bereits Onapsis Research Labs , die Platform zu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können. 

Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest Onapsis“-Newsletter.

Alle SAP-Sicherheitshinweise anzeigen

Stichwörter, ,
Über den Autor

Thomas Fritsch

Als führender SAP-Sicherheitsforscher bei Onapsis gilt Thomas Fritsch als anerkannte Autorität in den Bereichen vulnerability management und neue Bedrohungen. Aufgrund seiner langjährigen Erfahrung als SAP-Experte konzentriert er sich auf hochtechnische Bereiche wie die Konfiguration von SAP-Systemen und das Transportmanagement. Thomas’ Analysen der neuesten SAP-Sicherheitspatches und -Schwachstellen sind ein zentraler Bestandteil der Forschungsarbeit, die Unternehmen die fundierten und umsetzbaren Erkenntnisse liefert, die sie zum Schutz ihrer Systeme benötigen. Seine Rolle als angesehener Redner und Autor festigt seinen Ruf als maßgebliche Stimme im Bereich der SAP-Cybersicherheit und trägt dazu bei, die Lücke zwischen komplexer Forschung und praktischen Sicherheitsmaßnahmen in der realen Welt zu schließen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen