SAP-Sicherheitshinweise August 2017: Sicherheitslücke durch Remote-Code-Injection in einer JAVA-Komponente
Anmerkung der Redaktion: Dieser Blogbeitrag wurde am 20. März 2025 aktualisiert.
Es ist der zweite Dienstag des Monats, was bedeutet, dass eine weitere Runde der monatlichen SAP-Sicherheitshinweise veröffentlicht wurde. Nachfolgend finden Sie unsere monatliche Analyse der behobenen SAP-Sicherheitslücken, die Ihnen dabei helfen soll, Ihre ERP-Umgebung sicher und geschützt zu halten. Auch in diesem Monat gibt es keine neuen Sicherheitshinweise mit dem Tag „Hot News“ – damit gibt es nun schon seit vier Monaten in Folge keine Hinweise dieser Schwereklasse. Es besteht jedoch weiterhin Handlungsbedarf, da drei Sicherheitshinweise mit der Priorität „Hoch“ gemeldet wurden. Einer dieser Hinweise mit hoher Priorität betrifft eineCode-Injection-Sicherheitslücke, die vom Onapsis Research Team gemeldet wurde.
SAP hat heute 18 Sicherheitshinweise veröffentlicht, womit sich die Gesamtzahl seit dem letzten zweiten Dienstag des Monats auf 20 erhöht. In den folgenden Abschnitten werden wir diese Code-Injection-Sicherheitslücke sowie einige Details zu den beiden anderen als „High“ eingestuften Sicherheitshinweisen näher erläutern. Alle diese Sicherheitslücken erfordern sofortige Aufmerksamkeit und sollten lieber früher als später behoben werden.
Sicherheitslücke durch Code-Injektion in Visual Composer
Der Visual Composer ist eine Webanwendung, die vollständig im Browser ausgeführt wird. Mit dem Visual Composer können Unternehmensberater Inhalte für Unternehmensportale erstellen, ohne auch nur eine einzige Zeile Code schreiben zu müssen. Dies geschieht mithilfe logischer Portalbausteine, die als integrierte Ansichten (iViews) bezeichnet werden. Ein iView stellt eine visuelle Anwendung (oder einen Teil davon) dar und kann Daten aus Backend-Systemen verarbeiten. Diese spezifische Sicherheitslücke betrifft iViews, die in den 04s-Versionen erstellt wurden.
Die von Matias Mevied von Onapsis Research Labs entdeckte Sicherheitslücke ermöglicht es Angreifern, bösartigen Code in die Backend-Anwendung einzuschleusen. Allein dadurch, dass Endnutzer eine speziell gestaltete URL aufrufen, kann ein Angreifer unerwünschte Anwendungen auf dem Client-Rechner starten. Je nachdem, wer Ihr Unternehmensportal nutzt, können es sich bei den Clients in diesem Sinne um Mitarbeiter, Kunden, Partner oder Lieferanten handeln.
Der nach dieser Entdeckung veröffentlichte SAP-Sicherheitshinweis trägt die Nummer #2376081. Er ist einer von drei als „hoch“ eingestuften Sicherheitslücken in diesem Monat und weist einen CVSS v3-Basiswert von 7,4 von 10 auf. Dieser hohe Wert ist darauf zurückzuführen, dass die Sicherheitslücke relativ einfach auszunutzen ist und über das unmittelbar betroffene System hinaus weitere Systeme betrifft. Bei den zusätzlich betroffenen Systemen könnte es sich um die Client-Systeme von Endbenutzern handeln, die auf das Enterprise Portal zugreifen.
Das folgende Bild zeigt, wie einfach ein Angreifer über die betroffene Komponente Code ausführen kann. In diesem Proof-of-Concept wird der Windows-Rechner geöffnet, nachdem der Benutzer diese URL von einem nicht gepatchten SAP-System aus aufgerufen hat:
Eine große Anzahl von Visual Composer-Versionen ab 7.00 ist betroffen. Aufgrund des Umfangs der betroffenen Versionen besteht daher selbst dann eine erhöhte Wahrscheinlichkeit, dass diese Komponente Teil eines Angriffs wird, wenn sie in Ihrem Unternehmen nicht aktiv genutzt wird. Sie sollten auf jeden Fall in Erwägung ziehen, die Sicherheitslücke zu schließen, bevor Sie Organisationen außerhalb Ihres eigenen Unternehmens Zugriff auf das Enterprise Portal gewähren, da die Folgen weit über das Versenden einer internen E-Mail an Ihre Mitarbeiter hinausgehen könnten.
Details zu Notizen mit hoher Priorität
In diesem Monat wurden zwei weitere Sicherheitshinweise mit hoher Priorität veröffentlicht, die von SAP als „High Priority Notes“ gekennzeichnet sind. Nachstehend finden Sie die Details dazu, einschließlich des CVSS-Werts, der bei allen drei Sicherheitshinweisen mit hoher Priorität in diesem Monat nahezu identisch ist. Einer der beiden anderen Sicherheitshinweise betrifft ebenfalls SAP NetWeaver über Java, genau wie der von Onapsis gemeldete. Der zweite betrifft SAP Business Objects.
- Verletzlichkeit durch Verzeichnisdurchlauf im SAP NetWeaver AS Java Web Container (#2486657): Diese Art von Angriffen beeinträchtigt stets die Vertraulichkeit von Informationen, da sie es einem Angreifer ermöglicht, beliebige Dateien zu lesen, auf die eigentlich kein Zugriff gewährt werden sollte. Aufgrund der erheblichen Auswirkungen auf die Vertraulichkeit weist diese Schwachstelle den höchsten CVSS-Wert dieses Monats auf. Ein AS Java Web Container ohne ordnungsgemäße Validierung von Pfadangaben könnte betroffen sein, da ein Angreifer den Inhalt beliebiger Dateien auf dem Remote-Server lesen und so sensible Daten offenlegen könnte.
CVSS v3-Basiswert: 7,7 / 10
Anmerkung der Redaktion: Diese Sicherheitslücke im SAP NetWeaver, die eine Verzeichnisüberquerung ermöglicht, wurde in die Liste der CISA aufgenommen Verzeichnis bekannter ausgenutzter Sicherheitslücken als CVE-2017-12637. - Sicherheitslücke bei AJAX-Anfragen über verschiedene Websites hinweg in SAP BusinessObjects (#2381071): Wie bereits in der Vergangenheit ist diese Sicherheitslücke nicht in SAP selbst vorhanden, sondern in einer Java-Bibliothek eines Drittanbieters, die in BusinessObjects verwendet wird. Die Bibliothek wurde im neuesten Service-Paket auf die korrigierte Version aktualisiert. Wie bei jedem Cross-Site-Angriff könnte dies zu clientseitigen Angriffen führen, die potenziell (mit geringen Auswirkungen) die Vertraulichkeit, Verfügbarkeit und Integrität der Informationen beeinträchtigen könnten.
CVSS v3-Basiswert: 7,3 / 10
Zusammenfassung
Es war wieder ein SAP Notes Day ohne kritische (Hot News) Patch-Updates. Auch wenn es kein kritischer Monat war, sollten die oben genannten Notes mit hoher Priorität so schnell wie möglich bearbeitet werden. In diesem Monat wurden mehrere Arten von Sicherheitslücken behoben, darunter Cross-Site Scripting (XSS macht mit fünf Notes den Großteil aus), fehlende Autorisierungsprüfung, SQL-Injection, Code-Injection, Denial-of-Service (DoS), Offenlegung von Informationen, Clickjacking, URL-Umleitung und Verzeichnisüberquerung. Fast alle Arten von Fehlern sind in dieser Version enthalten, obwohl die meisten von ihnen mit mittlerer Priorität gekennzeichnet sind.
Die meisten Patches (16 von 20) können automatisch installiert werden, was bedeutet, dass nach der Installation keine manuellen Schritte erforderlich sind. Dies kann Unternehmen dabei helfen, einen Patch schneller als andere bereitzustellen. Dieser Anteil an automatisch installierbaren Patches (80 %) ist deutlich höher als im Vormonat, als bei 57 % der Patches manuelle Schritte erforderlich waren, um einen angemessenen Schutz zu gewährleisten.
Wie üblich werden unsere Forscher, die SAP bei der Verbesserung der Sicherheit unterstützen, diesen Monat auf derSAP-Webseitegebührend gewürdigt. Onapsis Research Labs bereits daran, unser Produkt, die Onapsis Security Platform, zu aktualisieren, um diese neu veröffentlichten Sicherheitslücken zu berücksichtigen. Bleiben Sie auf dem Laufenden, um weitere Informationen zur SAP-Sicherheit zu erhalten, und zögern Sie nicht, sich an uns zu wenden, falls Sie weitere Fragen zum Schutz vor den Angriffen dieses Monats haben.