SAP-Sicherheitshinweise Dezember 2019: Die einzige Neuigkeit ist die neue unterstützte Chromium-Version für den SAP Business Client

Von:

10. Dezember 2019

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Dezember gehören:

  • „Ruhiger“ Dezember in Sachen SAP-Sicherheit– Nur eine „HotNews“-Meldung und 12 Meldungen mit mittlerer Priorität veröffentlicht
  • Erwartetes Update zu HotNews-Hinweis Nr. 2622660– Die neu unterstützte Chromium-Version Chrome 78.0.3904.70 enthält nach wie vor keine wichtigen Zero-Day-Patches
  • Neues MDM-Update unterstützt SSLv3 nicht mehr– Ein weiterer Schritt hin zu sicherer Kommunikation in SAP

Die Bezeichnung des SAP-Patch-Days im Dezember als „ruhig“ sollte nicht falsch interpretiert werden. Auch wenn die Anzahl von 12 Hinweisen mit mittlerer Priorität (zuzüglich eines Updates zu einem HotNews-Hinweis) darauf hindeutet, dass keine dringende Notwendigkeit besteht, die entsprechenden Patches zu implementieren, sollte jeder SAP-Kunde die von SAP festgelegten Prioritäten und CVSS-Bewertungen genauer prüfen. Die SAP-Sicherheitsnotiz Nr. 2741937 mit dem Titel „SQL-Injection-Schwachstelle in Central Finance CO“ ist ein gutes Beispiel für diese Empfehlung. Die CVSS-Bewertung von 6,5 ist fragwürdig, da die Schwachstelle es ermöglicht, „Vorgänge auf Administratorebene in der Datenbank auszuführen“. Die Bewertung der möglichen Auswirkungen auf die Integrität und Verfügbarkeit des Systems mit „Keine“ ist daher zumindest eine „mutige“ Entscheidung.

Aktualisierung zu HotNews-Meldung Nr. 2622660

SAP hat das erwartete Update zur unterstützten Google-Chromium-Version für den SAP Business Client veröffentlicht. Weniger erwartet war die Tatsache, dass die unterstützte Version nach wie vor nicht die Sicherheitslücken CVE-2019-13720 und CVE-2019-13721 abdeckt, die Google vor sechs Wochen veröffentlicht hat. Zwar stellen diese Sicherheitslücken eher ein direktes Risiko für den Client-PC des Benutzers als für ein SAP-System dar, doch werden die Benutzer hier unnötigen Risiken ausgesetzt, da sie gezwungen sind, bei einer unsicheren Chromium-Version zu bleiben. Angesichts der Tatsache, dass CVE-2019-13720 bereits ausgenutzt wurde und SAP-Systeme indirekt durch infizierte Client-PCs, die mit demselben Netzwerk verbunden sind, betroffen sein könnten, wird das nächste Update in dieser Hinsicht mehr als willkommen sein.

MDM unterstützt nun TLSv1.2, ohne dass ein Fallback auf SSL möglich ist

Auf den ersten Blick klingt der SAP-Sicherheitshinweis Nr. 2504979 mit dem Titel „Upgrade der SSL-Unterstützung auf TLSv1.2“ wie eine einfache Mitteilung an SAP-MDM-Kunden, dass die Kommunikationssicherheit in diesem Bereich verbessert wurde. Tatsächlich handelt es sich jedoch um eine wichtige Nachricht für alle, die für die Sicherheit der Netzwerkkommunikation verantwortlich sind.

Wenn eine SAP-Anwendung die SSL/TLS-Versionen (und Verschlüsselungssuiten) nicht einschränkt, die sie für die Kommunikation mit einem Client bereitstellt, können Angreifer eine bestimmte Eigenschaft moderner Clients ausnutzen. Beim Aufbau einer Verbindung mit dem Server bieten die Clients das „sicherste“ Protokoll an, das sie unterstützen. Schlägt die Verbindung fehl, versuchen sie es automatisch erneut mit einem „unsichereren“ Protokoll, bis der Handshake mit dem Server erfolgreich ist. Angreifer können diese Clients dazu zwingen, automatisch auf eine SSL/TLS-Version herunterzustufen, die Verschlüsselungssuiten mit Algorithmen unterstützt, die für schwache Sicherheit und Schwachstellen bekannt sind. Diese Art von Angriff wird als POODLE-Angriff bezeichnet. Weitere Informationen zu POODLE finden Sie hier.

Da die Protokollversion SSLv3 (und mittlerweile auch TLS 1.0 und TLS 1.1) bereits vor Jahren geknackt wurde, ist jede neue SAP-Komponente, die TLS 1.2 unterstützt und SSL-Protokolle ablehnt, ein wichtiger Schritt hin zu einer sicheren Kommunikation innerhalb von SAP. Obwohl TLS 1.2 heute ein dringend empfohlener Standard ist, zwingt die Interoperabilität mit Altsystemen Sicherheitsadministratoren oft dazu, SSLv3 in SAP-Umgebungen weiterhin zuzulassen. Der SAP-Hinweis Nr. 2384290 enthält wichtige Informationen zur Durchsetzung von TLS 1.2 in einer SAP-Umgebung, einschließlich der Voraussetzungen für einige häufig verwendete Softwarekomponenten von Drittanbietern. 

Weitere Informationen zu TLS finden Sie in diesem aktuellen Onapsis-Blogbeitrag: TLS: Viel mehr als nur eine Compliance-Anforderung.

„Fehlende Berechtigungsprüfung“ erneut die häufigste Sicherheitslücke

In diesem Monat wurden vier SAP-Sicherheitshinweise veröffentlicht, die Schwachstellen aufgrund fehlender Berechtigungsprüfungen in ABAP-Komponenten betreffen. Die Ergebnisse des SAP-Patch-Days im Dezember sind zudem eine wichtige Referenz für Kundenentwicklungsprojekte. Typische Fehler, die hier auftreten können, sind:

  • Fehlende explizite AUTHORITY-CHECK-Anweisung in remote-fähigen Funktionsbausteinen
  • Es fehlt ein AUTHORITY-CHECK vor CALL TRANSACTION
  • In den Berichten fehlt eine explizite AUTHORITY-CHECK-Prüfung
  • Fehlende oder unvollständige Ausnahmebehandlung nach fehlgeschlagenen Autorisierungsprüfungen
  • Unvollständige Berechtigungsprüfungen (unzureichende Prüfungen bei DUMMY)

Zusammenfassung und Schlussfolgerungen

Mit nur einem aktualisierten HotNews-Hinweis und 12 Hinweisen mittlerer Priorität (acht neue Hinweise und vier aktualisierte Hinweise) könnte der SAP-Patch-Day im Dezember als weniger einschneidend angesehen werden. Bei genauerer Betrachtung beheben die bereitgestellten Korrekturen jedoch Sicherheitsprobleme, die möglicherweise schwerwiegender sind, als ihre Priorität und ihre CVSS-Bewertung auf den ersten Blick vermuten lassen. Diese „ruhigen“ Patch-Days sollten auch dazu genutzt werden, die eigenen Entwicklungen im Hinblick auf die beschriebenen Schwachstellen zu überprüfen.

1912 SAP-Sicherheitshinweise Dezember 2019

Onapsis Research Labs bereits Onapsis Research Labs , die Platform zu aktualisieren, Platform diese neu veröffentlichten Sicherheitslücken in das Produkt Platform integrieren, damit unsere Kunden bei ihren Sicherheitsüberprüfungen auf fehlende Hinweise achten können.

Wenn Sie weitere Informationen zu den aktuellen SAP-Sicherheitsproblemen erhalten und über unsere kontinuierlichen Bemühungen zum Wissensaustausch mit der Sicherheits-Community auf dem Laufenden bleiben möchten, abonnieren Sie unseren monatlichen „Defender’s Digest Onapsis“-Newsletter.

Stichwörter, ,
Über den Autor

Thomas Fritsch

Als führender SAP-Sicherheitsforscher bei Onapsis gilt Thomas Fritsch als anerkannte Autorität in den Bereichen vulnerability management und neue Bedrohungen. Aufgrund seiner langjährigen Erfahrung als SAP-Experte konzentriert er sich auf hochtechnische Bereiche wie die Konfiguration von SAP-Systemen und das Transportmanagement. Thomas’ Analysen der neuesten SAP-Sicherheitspatches und -Schwachstellen sind ein zentraler Bestandteil der Forschungsarbeit, die Unternehmen die fundierten und umsetzbaren Erkenntnisse liefert, die sie zum Schutz ihrer Systeme benötigen. Seine Rolle als angesehener Redner und Autor festigt seinen Ruf als maßgebliche Stimme im Bereich der SAP-Cybersicherheit und trägt dazu bei, die Lücke zwischen komplexer Forschung und praktischen Sicherheitsmaßnahmen in der realen Welt zu schließen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen