SAP-Sicherheitshinweise August 2018: SQL-Injection in BusinessObjects und mehrere Sicherheitshinweise mit hoher Priorität, die beachtet werden müssen.

Heute ist der zweite Dienstag des Monats, was bedeutet, dass SAP eine neue Reihe von Sicherheitshinweisen veröffentlicht hat, um in seiner Software gefundene Sicherheitslücken zu beheben. Nachfolgend finden Sie unsere monatliche Analyse der behobenen SAP-Sicherheitslücken, damit Ihre ERP-Umgebung sicher und geschützt bleibt.

Seit dem letzten Patch Tuesday wurden insgesamt 27 neue Sicherheitshinweise veröffentlicht. Heute wurden 15 dieser Hinweise veröffentlicht. Es gibt keine neuen Hinweise, die als „Hot News“ gekennzeichnet sind, aber man sollte sich nicht zu sehr in Sicherheit wiegen, da weiterhin Handlungsbedarf besteht: Neun Hinweise wurden als „High Priority“ gemeldet. Zwei dieser Hinweise mit hoher Priorität betreffen Sicherheitslücken, die von Onapsis Research Labs gemeldet wurden: Einer behebt zwei SQL-Injection-Schwachstellen in SAP BusinessObjects. Im Grunde kann ein Angreifer mit einer Sitzung mit geringen Berechtigungen Daten einschleusen und Informationen extrahieren, zu denen er eigentlich keinen Zugriff haben sollte. Die andere Schwachstelle behebt zwei Fehler, die in SAP HANA XSA gefunden wurden. Auch in diesem Monat hat SAP eine Schwachstelle veröffentlicht und bestätigt, die während unserer intensiven Forschungsarbeiten zu HANA XSA entdeckt wurde: Benutzer, die ein Token erhalten haben, bevor sie gesperrt/gelöscht wurden oder eine Autorisierungsänderung erfuhren, können weiterhin dieselben Aktionen ausführen wie zuvor, solange die Token nicht ablaufen.

In den folgenden Abschnitten werden wir beide Sicherheitslücken näher erläutern.

Alle verbleibenden Notizen in diesem Monat haben mittlere Priorität, genauer gesagt 18; diesmal sind keine Notizen mit niedriger Priorität dabei.

Die in diesem Monat gemeldeten Schwachstellen sind sehr unterschiedlich und betreffen verschiedene Produkte auf vielfältige Weise. So finden sich beispielsweise Hinweise mit hoher Prioritätzu SQL-Injection, fehlenden Autorisierungsprüfungen, der Offenlegung von Informationen und sogar XSS in Produkten wie SAP Crystal Reports, SAP Financial Consolidation und SAP Environment, Health and Safety (EHS). Mehr zu diesen Hinweisen mit hoher Priorität erfahren Sie weiter unten in diesem Beitrag.

Nachstehend finden Sie eine Grafik, die die Verteilung der Sicherheitslücken nach Kategorien in diesem Monat zeigt:

Korrekturen für von Onapsis gemeldete Sicherheitslücken in BusinessObjects und SAP HANA XSA
Wie Sie vielleicht bereits wissen, Onapsis Research Labs die Onapsis Research Labs einen besonderen Schwerpunkt auf SAP HANA und in jüngerer Zeit auf die SAP BusinessObjects-Plattformen gelegt. Zwei SAP-Sicherheitshinweise aus diesem Monat beheben einige Sicherheitsprobleme, die von den Forschern unseres Labors auf diesen beiden Plattformen entdeckt wurden.

Der SAP-Sicherheitshinweis Nr. 2590705 behebt zwei Fehler, die der Onapsis-Forscher Pablo Artuso in SAP HANA XSA im Zusammenhang mit der Implementierung des OAuth2-Autorisierungsmechanismus mittels JSON Web Token (JWT) entdeckt hat. Eines der behobenen Probleme betrifft die Gültigkeit des Tokens.
Wenn das Token von einem Angreifer abgefangen wird, ermöglicht es ihm, über einen langen Zeitraum von bis zu 12 Stunden mit denselben Berechtigungen wie der missbrauchte Benutzer auf Ressourcen zuzugreifen. Dies ist auch dann möglich, wenn der Benutzer seine Sitzung beendet hat.

Ein weiteres Problem dieses „langlebigen“ Tokens besteht darin, dass das Token eines Benutzers auch dann noch gültig ist und weiterhin die zum Zeitpunkt der Ausstellung gültigen Berechtigungen enthält, wenn ein Administrator die Berechtigungen für diesen Benutzer bereits widerrufen hat. Dies kann zu problematischen Situationen führen.

Wenn beispielsweise ein Administrator die Berechtigungen eines Benutzers einschränkt und der Benutzer zu diesem Zeitpunkt über eine gültige Sitzung verfügt, wird diese Änderung erst wirksam, wenn die Gültigkeitsdauer des Tokens abgelaufen ist – wahrscheinlich erst nach mehreren Stunden –, sodass der Benutzer weiterhin Zugriff auf das System hat, als hätte sich nichts geändert. Ein weiteres mögliches Szenario wäre, dass ein Benutzer vom Administrator gelöscht wird, während er noch angemeldet ist. Sein Token ermöglicht es ihm, weiterhin ohne Einschränkungen auf das System zuzugreifen.

Dies kann bei einigen Änderungen an der Benutzerverwaltung zu erheblichen Verzögerungen führen. Betrachtet man jedoch das Szenario, dass ein Angreifer ein Sitzungstoken erbeutet hat, eröffnet dies ein langes Zeitfenster für den Missbrauch des Systems.
             
Die SAP BI BusinessObjects Enterprise (BOBJ) platform über eine webbasierte Anwendung namens Central Management Console (CMC) verwaltet. Diese Konsole befindet sich auf dem Central Management Server (CMS), der in seiner eigenen Systemdatenbank alle Konfigurationsdaten speichert, darunter Benutzer, Ordner, Zugriffsrechte, SSO, Dienste und andere Verwaltungsdaten.

Ein weiterer von den Onapsis Research Labs gemeldeter Sicherheitshinweis mit hoher Priorität, Nr. 2644154, ist mit einem CVSS v3-Basiswert von 7,7/10 versehen. Er behebt zwei SQL-Injection-Schwachstellen (SQLi), die der Onapsis-Forscher Gaston Traberg in SAP BusinessObjects (BOBJ) entdeckt hat. Die Schwachstellen wurden im Frontend-Webserver der Central Management Console (CMC) gefunden. Bei einer dieser SQLi-Schwachstellen handelt es sich um eine blinde boolesche SQLi, bei der anderen um eine reguläre SQLi-Schwachstelle.

Der Unterschied zwischen SQLi und Blind-SQLi besteht darin, dass bei Blind-SQLi lediglich „wahr“ oder „falsch“ von der Datenbank abgefragt wird, da die angreifbare Anwendung nur allgemeine Meldungen zurückgibt. Die SQLi-Schwachstelle ist weiterhin vorhanden und kann ausgenutzt werden, was für den Angreifer jedoch einen höheren Aufwand bedeutet.

Diese SQLi-Sicherheitslücken, die inzwischen im CMC von BOBJ behoben und von Onapsis gemeldet wurden, ermöglichen es einem Angreifer ohne entsprechende Berechtigungen, Informationen aus der Datenbank des Central Management Server zu erlangen. Wie beschrieben, handelt es sich dabei um sensible Infrastrukturdaten zur BusinessObjects platform, ihrer Struktur und Konfiguration.

Keine aktuellen Meldungen, in diesem Monat veröffentlichte Hinweise mit hoher Priorität
Im Folgenden werden die verbleibenden acht Hinweise mit hoher Priorität dieses Monats erläutert:

1. Sicherheitslücke durch externe XML-Entitäten in Crystal Reports for Enterprise (#2569748) – Dieser Hinweis behandelt eine Sicherheitslücke in Crystal Reports for Enterprise, einer Komponente der BusinessObjects platform. Die Sicherheitslücke ermöglicht es, dass speziell gestaltete XML-Inhalte in einem Xcelsius-SWF-Objekt einen Absturz oder ein Einfrieren des Systems verursachen, wenn Benutzer mit diesem Objekt interagieren, während es in einen Crystal Report eingebettet ist.
2. Fehlende Authentifizierungsprüfung im SAP SRM MDM-Katalog (#2655250) – Bei einer Funktion zum Importieren von Katalogen in SAP SRM fehlt die Authentifizierung für einen berechtigten Repository-Benutzer. Dieser Sicherheitsfehler ermöglicht es nicht authentifizierten Benutzern, auf interne Informationen zuzugreifen.
3. Sicherheitslücke durch Speicherbeschädigung in Platform SAP BusinessObjects Business Intelligence Platform (#2614229) – Dieser Hinweis behebt eine Sicherheitslücke in einer Drittanbietersoftware, die in platform SAP BusinessObjects platform enthalten ist. Waldo Spek, Forscher bei Onapsis, hat dies vor einigen Monaten in seinem Blogbeitrag „The Risks of Open Source“ erörtert. In diesem Fall handelt es sich um die Open-Source-Komponente „Google Protobuf“ eines Drittanbieters, die Methoden zur Serialisierung strukturierter Daten bereitstellt. Ein Angreifer kann diese Sicherheitslücke ausnutzen, um eine Speicherbeschädigung zu verursachen. Dies eröffnet dem Angreifer in der Regel die Möglichkeit, das System durch Codeausführung oder andere Missbräuche zu manipulieren. Zur Behebung dieses Fehlers ist die Installation der entsprechenden Support-Paket-Patches erforderlich. Beachten Sie, dass diese Sicherheitslücke keine Auswirkungen auf 32-Bit-Softwareversionen hat.
4. Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP Financial Consolidation (#2621395) – Die SAP Financial platform zu den Lösungen Platform SAP Platform . Die in diesem Hinweis behobene Sicherheitslücke ermöglicht es einem Benutzer, unzureichend kodierte, benutzerverwaltete Daten zu missbrauchen, was zu einem Cross-Site-Scripting-Angriff (XSS) führen kann. In diesem Szenario bestehen die üblichen Risiken eines XSS, wie beispielsweise der Diebstahl von Anmeldedaten des Benutzers und das Vortäuschen der Identität des Benutzers. Um das Problem zu beheben, muss der entsprechende Patch installiert werden.
5. SQL-Injection-Sicherheitslücke in SAP MaxDB/liveCache (#2660005) – Hierbei handelt es sich um ein Sicherheitsproblem mit der SAP-liveCache-Technologie in den MaxDB-Versionen 7.8 und 7.9. Es ermöglicht einem Angreifer, sich die DBM-Operatorrechte zu verschaffen und diese zu missbrauchen, um schließlich sensible Informationen aus der Datenbank auszulesen, zu ändern oder zu löschen. Das erforderliche Software-Update behebt das Problem, indem es diese missbrauchsfähigen Berechtigungen vom DBM-Operator entfernt.
6. Fehlende Berechtigungsprüfung in SD-SLS, SD-CAS und SD-MD-AM-CMI (#2155614) – Dieser Hinweis mit hoher Priorität behebt das Fehlen von Berechtigungsprüfungen in drei SD-Komponenten: Vertrieb (SD-SLS), Computer-Aided Selling (SD-CAS) und Kunden-Material-Informationen (SD-MD-AM-CMI). Die fehlenden Berechtigungsprüfungen betreffen drei Berichte, die auf Kundenstammdaten und allgemeine Materialdaten zugreifen. Ein Benutzer oder Angreifer kann dies ausnutzen, um ohne die erforderliche Berechtigung Daten zu lesen oder zu ändern. Es ist merkwürdig, da die neu veröffentlichte Version keine Unterschiede zu den beiden vorherigen Versionen aus dem Jahr 2015 aufweist. Nicht nur der Text ist identisch, auch die Service Packs sind nicht neu, ebenso wenig wie die Anweisungen zur Korrektur. Es sieht nach einem Fehler aus. Eine Neuinstallation ist nicht erforderlich.
7. Mögliche Offenlegung von Informationen im Zusammenhang mit „Retrieve Safety Information“ (#2016974) und „Inspect Safety Controls“ (#2017041) – Diese beiden weiteren Hinweise mit hoher Priorität dienen der Behebung eines Problems im SAP Environment, Health and Safety Management (EHSM), einem Add-on für SAP ERP. Beide Hinweise beheben eine potenzielle Offenlegung von Informationen aufgrund von im Browser-Cache gespeicherten Daten. Beide Sicherheitshinweise sind neu, doch interessanterweise wurde der Sicherheitspatch zur Behebung des Problems bereits im Oktober 2014 veröffentlicht.

Bei den letzten drei oben beschriebenen Sicherheitshinweisen mit hoher Priorität haben wir mit gewisser Überraschung festgestellt, dass SAP den entsprechenden Sicherheitshinweis erst vier Jahre nach der Veröffentlichung des Service-Pakets, das den Fehler behebt, herausgibt.

Fazit
Wir sind derzeit dabei, die Onapsis Security Platform zu aktualisieren, um diese neu veröffentlichten Sicherheitslücken zu berücksichtigen. Dadurch können unsere Kunden überprüfen, ob ihre Systeme auf dem Stand der neuesten SAP-Sicherheitshinweise sind, und sicherstellen, dass diese Systeme mit dem erforderlichen Sicherheitsniveau konfiguriert sind, um ihre Audit- und Compliance-Anforderungen zu erfüllen. Weitere Informationen zu allen in diesem Blogbeitrag behandelten Themen finden Sie auf unserer Website.