SAP-Sicherheitshinweise August 2019: Kontinuität von SAP-Java-Systemen durch nicht authentifizierte Angriffe gefährdet

Von:

13. August 2019

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom August gehören:

  • SAP reagiert auf eine von Onapsis Research Labsgemeldete Sicherheitslücke –HotNews-Hinweis zur Behebung einer SSRF-Sicherheitslücke (Server-Side Request Forgery) im SAP NetWeaver Application Server Java veröffentlicht, die durch das Herunterfahren des Systems zu Betriebsstörungen führen kann
  • Höchste CVSS-Bewertung des Jahres –Eine Code-Injection-Sicherheitslücke im SAP NetWeaver UDDI Server mit einem CVSS-Wert von 9,9 ist die kritischste des laufenden Jahres
  • Dieser SAP Security Patch Day weist die höchste Anzahl kritischer Sicherheitshinweise im Jahr 2019 auf –es wurden drei „HotNews“-Hinweise und zwei Hinweise mit hoher Priorität veröffentlicht, dazu ein erneut veröffentlichter „HotNews“-Hinweis

Heute hat SAP seine monatlichen Patch-Updates mit mehreren kritischen Korrekturen veröffentlicht, darunter drei SAP-Sicherheitshinweise, die als „HotNews“ gekennzeichnet sind (die höchste Prioritätsstufe). Diese Hinweise betreffen mehrere Produkte, darunter den SAP NetWeaver Application Server for Java, den SAP NetWeaver UDDI Server (ebenfalls auf Basis von SAP AS JAVA) und Cloud SAP Commerce Cloud ehemals SAP Hybris Commerce). Das letzte Mal, dass SAP drei HotNews am selben Tag veröffentlichte, war im Jahr 2014. Daher ist es wichtig, die Veröffentlichung dieses Monats aufmerksam zu verfolgen und mit der Installation der Korrekturen so bald wie möglich zu beginnen.

Zu diesen kritischen Fehlern gehören eine Schwachstelle mit einem CVSS-Score von 9,9 sowie – bereits den zweiten Monat in Folge – eine von den Onapsis Research Labs gemeldete „HotNews “. Hinzu kommt eine vierte „HotNews“, ein Ende letzten Monats außerplanmäßig erneut veröffentlichter Hinweis. Die beiden Korrekturen, die SAP-Java-Plattformen betreffen, ermöglichen es nicht authentifizierten Angreifern, Befehle aus der Ferne auszuführen und den Systembetrieb potenziell zu stören, indem sie das System herunterfahren oder dessen Ressourcen überlasten. SAP-Java-Systeme hosten in der Regel Webanwendungen, die von Benutzern genutzt werden, höchstwahrscheinlich für den regulären Betrieb, sodass ein Kontinuitätsproblem schwerwiegende wirtschaftliche Auswirkungen auf das Unternehmen haben kann.

Nicht authentifizierte Benutzer können zu Benutzern der SAP Management Console werden

Forscher von Onapsis haben eine kritische Sicherheitslücke entdeckt und gemeldet, die heute als eine der „HotNews“ dieses Monats behoben wurde. Der SAP-Sicherheitshinweis Nr. 2813811 mit dem Titel „Server-Side Request Forgery (SSRF) im SAP NetWeaver Application Server for Java“ weist einen CVSS-Wert von 9,0 auf, da ein potenzieller Angreifer (durch den Diebstahl von Benutzeranmeldedaten) Zugriff auf die Management Console für SAP-Java-Systeme erlangen könnte. Wenn sich nicht authentifizierte Benutzer als Administratoren der Management Console Zugang verschaffen, könnte dies zu einer vollständigen Störung der JAVA-Webportale sowie zu Datenzugriff (Spionage, Datenlecks) oder Datenmanipulation führen.

Die SAP Management Console ermöglicht eine zentralisierte Systemverwaltung. Laut SAP-Dokumentation kann ein Administrator (unter anderem) mit diesem Tool:

  • Überwachung und control Starten, Stoppen oder Neustarten) des SAP-Systems und seiner Instanzen
  • Anzeige von SAP-Protokoll- und Trace-Dateien, Startprofilen, Instanzparametern, der Systemumgebung, der SAP-Umgebung, der Warteschlangenstatistik des Internet Communication Manager (ICM) und vielem mehr
  • control -Prozesse anzeigen und control

Forscher von Onapsis haben diese Sicherheitslücke in einer Komponente von SAP-Java-Systemen entdeckt, die für Administratorzwecke entwickelt wurde und es einem Angreifer ermöglichen könnte, gültige Anmeldedaten für die Management-Konsole zu erlangen (für einen Hintergrundbenutzer, nicht für einen nominellen Benutzer). Ist dies geschehen, kann sich ein Angreifer direkt damit verbinden und als Systemadministrator agieren. Das bedeutet, dass ein Angreifer jede Aufgabe ausführen könnte, die in der Management Console zulässig ist. Zu den schlimmsten Szenarien gehören die Remote-Ausführung von Betriebssystembefehlen auf dem System und das Stoppen der SAP-Systemgenerierung, also ein Denial-of-Service-Angriff (DoS).

Auch wenn diese Sicherheitslücke bei erfolgreicher Ausnutzung schwerwiegende Folgen haben kann, gibt es einige Maßnahmen, die Schutz bieten können. Die Installation des Patches ist zwar immer die beste Option, doch es gibt zwei weitere mögliche Schutzmaßnahmen (selbst wenn die Komponente anfällig ist):

  • Wenn das System standardmäßig konfiguriert ist, kann der Fehler nicht ausgenutzt werden. Das bedeutet, dass Sie den Code zwar trotzdem patchen sollten, ein Angreifer ihn jedoch nicht ausnutzen kann. Leider wird die nicht standardmäßige Konfiguration, die eine erfolgreiche Ausnutzung dieses Angriffs ermöglicht, von SAP in mehreren Veröffentlichungen als Lösung empfohlen, beispielsweise in den SAP-Knowledge-Base-Artikeln Nr. 2577844, Nr. 2542492, Nr. 2510099, #2506964, #2820566 und anderen. Um zu überprüfen, ob Sie nicht gefährdet sind (bevor Sie den Patch anwenden), sollten Sie sicherstellen, dass Ihr Parameter „jstartup/service_acl“ nicht „sap.com*“ (oder eine andere Maske mit „*“, die diesen Dienst zulässt) enthält, wie es standardmäßig der Fall ist.
  • Wenn Sie den Zugriff über den HTTP-Port eingeschränkt haben, indem Sie ACL-Dateien so eingerichtet haben, dass alle Verbindungen außer denen von localhost abgelehnt werden, besteht für Sie kein Risiko. Dies dient als vorübergehende Lösung (auch hier gilt: Sie sollten die Komponente für die Zukunft dennoch patchen, doch die Dringlichkeit ist nicht dieselbe). Betroffene Parameter sind „service/http/acl_file“ und „service/https/acl_file“; weitere Informationen finden Sie im SAP-Hinweis Nr. 1495075.

Ein Monat voller Neuigkeiten

Zum ersten Mal in diesem Jahr hat SAP einen Sicherheitshinweis mit einem CVSS-Wert von 9,9 veröffentlicht. Dieser Spitzenreiter, der SAP-Sicherheitshinweis Nr. 2800779, trägt den Titel „Remote Code Execution (RCE) in SAP NetWeaver UDDI Server (Services Registry)“ und warnt davor, dass Angreifer eine Pufferüberlauf-Schwachstelle ausnutzen können, um Code in den Arbeitsspeicher einzuschleusen. Aufgrund der geringen Komplexität dieses Angriffsszenarios in Verbindung mit dem breiten Spektrum möglicher Schäden (z. B. Offenlegung von Informationen, Datenmanipulation und -zerstörung) bis hin zur vollständigen control das Produkt gilt dieser Hinweis als der kritischste, der 2019 von SAP veröffentlicht wurde. Glücklicherweise lässt sich diese Schwachstelle durch die Installation der mit dem Hinweis bereitgestellten Support-Pakete leicht beheben (betroffen sind die Versionen von NetWeaver 7.10 bis 7.50, für die ein Patch verfügbar ist).

Code-Injection ist auch Gegenstand des SAP-Sicherheitshinweises Nr.2786035 mit dem Titel „Code-Injection-Schwachstellen in CloudSAP Commerce Cloud, der mit einem CVSS-Wert von 9,0 bewertet wurde. Die beschriebenen Schwachstellen betreffen zwei Erweiterungen, Cloud mit der SAP Cloud verwendet Cloud . Zudem könnte ein Angreifer control vollständige control die Anwendung erlangen. Bitte lesen Sie den Abschnitt „Lösung“ des Hinweises sorgfältig durch, da nach dem Installieren der bereitgestellten Patches möglicherweise einige Schritte erforderlich sind.

Für Leser, die möglicherweise das Update zu SAP-Sicherheitshinweis Nr. 2622660 „Sicherheitsupdates für das control Chromium“ verpasst haben, das im Rahmen des SAP-Patch-Days im Juli zusammen mit dem SAP Business Client bereitgestellt wurde: SAP hat am 23. Juli erneut das zehnte Update dieses HotNews-Hinweises veröffentlicht. Es wurden neue Patches für den SAP Business Client veröffentlicht, die die Version 75.0.3770 des control enthalten und insgesamt 47 Sicherheitsprobleme beheben. In diesem Zusammenhang möchten wir darauf hinweisen, dass der Support für die Version 6.5 des SAP Business Client seit Anfang April 2019 von Voll- auf eingeschränkten Support umgestellt wurde. Das bedeutet, dass Sicherheitsprobleme in externen Komponenten, die vom SAP Business Client genutzt werden, in Release 6.5 nicht mehr behoben werden, wenn die verwendete Version der externen Komponente nicht mehr gewartet wird (weitere Informationen finden Sie im SAP-Hinweis Nr. 2302074, „Wartungsstrategie und Fristen für SAP Business Client / NWBC“, Abschnitt „Was bedeutet eingeschränkter Support für den SAP Business Client?“).

Weitere Hinweise mit hoher Priorität in SAP HANA und Kernel

SAP hat heute zudem zwei Sicherheitshinweise mit hoher Priorität veröffentlicht. Damit gibt es 2019 zum ersten Mal insgesamt sechs kritische Korrekturen (wenn man die Hinweise mit hoher Priorität und die HotNews-Hinweise zusammenzählt).

SAP-Sicherheitshinweis zur SAP-HANA-Datenbank: Die erste Schwachstelle mit hoher Priorität, die im Hinweis Nr. 2798243 behoben wurde und einen CVSS-Wert von 7,5 aufweist, ermöglicht es einem Angreifer, fehlerhafte Verbindungsanfragen an die SAP-HANA-Instanz zu senden, wodurch der zugehörige Indexserver abstürzt. Dies führt zu den typischen Symptomen eines DoS-Angriffs: lange Antwortzeiten, Dienstunterbrechungen und geringe Verfügbarkeit der Dienste, was insgesamt zu einer schlechten Benutzererfahrung führt. 

SAP-Sicherheitshinweis zum SAP-Kernel: Der SAP-Sicherheitshinweis Nr . 2798743 mit einem CVSS-Wert von 7,2 (CVE-2019-0349) behebt eine Sicherheitslücke aufgrund fehlender Berechtigungen in einem SAP-Kernel-Paket und verhindert so, dass Angreifer unbefugt Informationen offenlegen oder Daten manipulieren können.

Zusammenfassung und Schlussfolgerungen

Im Rahmen des Patch Day im August wurden insgesamt 23 SAP-Sicherheitshinweise veröffentlicht. Die folgende Tabelle gibt einen Überblick über die Arten von Sicherheitslücken, darunter: Remote-Code-Ausführung, fehlende Berechtigungsprüfung, Cross-Site-Scripting und Clickjacking.

SAP-Sicherheitshinweise-August-2019

Angesichts der vier HotNews und zwei Sicherheitshinweise mit hoher Priorität sowie der Vielzahl an Angriffsvektoren, die auf verschiedenen SAP-Plattformen ausgenutzt werden können, verdeutlicht der Patch Day im August eindrucksvoll, wie wichtig es ist, Ihre Systeme auf dem neuesten Stand zu halten. Glücklicherweise Platform Sie Platform die Durchführung einer Schwachstellen- und Compliance-Prüfung mit dem „Missing Notes“-Modul der Platform einen klaren Überblick über die relevanten Hinweise, die derzeit in Ihrer SAP-Landschaft fehlen.

Unser leitender Sicherheitsforscher, Nahuel Sanchez, wurde diesen Monat von SAP auf dessen Dankesseite für unsere Zusammenarbeit gewürdigt. Die Research Labs arbeiten bereits daran, die Platform zu aktualisieren, um diese neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden bei ihren Sicherheitsüberprüfungen fehlende Hinweise überprüfen können.

Wenn Sie weitere Informationen zu den aktuellen SAP-Sicherheitsproblemen erhalten und über unsere kontinuierlichen Bemühungen zum Wissensaustausch mit der Sicherheits-Community auf dem Laufenden bleiben möchten, abonnieren Sie unseren monatlichen „Defender’s Digest Onapsis“-Newsletter.

Über den Autor

Thomas Fritsch

Als führender SAP-Sicherheitsforscher bei Onapsis gilt Thomas Fritsch als anerkannte Autorität in den Bereichen vulnerability management und neue Bedrohungen. Aufgrund seiner langjährigen Erfahrung als SAP-Experte konzentriert er sich auf hochtechnische Bereiche wie die Konfiguration von SAP-Systemen und das Transportmanagement. Thomas’ Analysen der neuesten SAP-Sicherheitspatches und -Schwachstellen sind ein zentraler Bestandteil der Forschungsarbeit, die Unternehmen die fundierten und umsetzbaren Erkenntnisse liefert, die sie zum Schutz ihrer Systeme benötigen. Seine Rolle als angesehener Redner und Autor festigt seinen Ruf als maßgebliche Stimme im Bereich der SAP-Cybersicherheit und trägt dazu bei, die Lücke zwischen komplexer Forschung und praktischen Sicherheitsmaßnahmen in der realen Welt zu schließen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen