SAP-Sicherheitshinweise Dezember 2018: Fehlende Berechtigungsprüfung mit hoher Priorität, die SAP S/4HANA betrifft
Heute, am SAP Security Patch Day,hat das Unternehmen17 Sicherheitshinweise veröffentlicht, darunter einige, die bereits im Monat nach dem letzten Patch Day veröffentlicht worden waren. Zwei als„Hot News“und drei als„High Priority“gekennzeichnete Hinweise heben sich von den übrigen ab, darunter ein erneut veröffentlichter Hinweis zu Chromium (#2622660), ein Fehler in SAP Hybris (#2711425) und eine kritische fehlende Berechtigungsprüfung, die zuvor von den Onapsis Research Labs gemeldet wurde und die meisten SAP-Anwender Onapsis Research Labs (#2698996). Dieser letzte Eintragbetrifft nicht nur SAP NetWeaver ABAP-Systeme, sondern auch S/4HANA-Umgebungen.
Warum wird eine häufige Schwachstelle, wie beispielsweise eine fehlende Berechtigungsprüfung, manchmal als„niedrige Priorität“und manchmal als„hohe Priorität“ eingestuft? Einige unserer Leser sind möglicherweise verwirrt über diese Diskrepanz bei der Einstufung einer der häufigsten Arten von Fehlern durch SAP und haben uns um eine Erklärung gebeten. Der Hinweis, der diesen Monat von unserem leitenden Forscher Matias Sena gemeldet wurde, ist ein gutes Beispiel, um dies zu verdeutlichen. Der SAP-Sicherheitshinweis Nr. 2698996 mit dem Titel„[CVE-2018-2494] Fehlende Autorisierungsprüfung in SAP-Customizing-Tools“wurde als Hinweismit hoher Prioritäteingestuft, basierend auf den Möglichkeiten, die sich einem mutmaßlichen Angreifer bei erfolgreicher Ausnutzung bieten, sowie dem von unserem Team ermittelten CVSS-Wert von 8,3.
Berechtigungsprüfungen sind das Mittel, mit dem SAP-Programme regeln, welche Aktionen Benutzer ausführen dürfen und welche nicht, um auf geschäftskritische Daten zuzugreifen. Wenn ein Programm ordnungsgemäß – also „auf sichere Weise“ – entwickelt wurde, sollte jedes Mal, wenn ein Benutzer auf eine Funktion, ein Programm oder eine Transaktion (unter anderem) zugreifen möchte, eine Berechtigungsprüfung durchgeführt werden, um zu überprüfen, ob dieser Benutzer dazu berechtigt ist (oder nicht). Fehlt diese Prüfung in einem Programm, spricht man von einer fehlenden Berechtigungsprüfung, da dies dazu führen kann, dass ein nicht berechtigter Benutzer auf Daten zugreift oder diese ändert, was nicht zulässig sein sollte. Auf dieser Grundlageermöglicht das Objekt, bei dem die Prüfung fehlt, anhand eines Schlüssels zu bestimmen, wie risikoreich ein Fehler ist. Beispielsweise ist der 2017 veröffentlichte SAP-Sicherheitshinweis Nr. 2463354 „Fehlende Autorisierungsprüfung in den ABAP-Workbench-Tools“ mit„Niedrige Priorität“ gekennzeichnet. Wenn kein Patch installiert wird, kann die betroffene Komponente es einem unbefugten Benutzer ermöglichen, eingeschränkte Daten anzulegen. Auf dieser Grundlage ist nur die Integrität aus der Informationssicherheits-Triage nicht so stark betroffen, und der CVSS-Vektor des Fehlers ist niedrig (2,7/10). Wann immer die betroffene Komponente es einem unbefugten Benutzer ermöglicht, alle CIA-Triage-Bereiche zu beeinträchtigen, ist das Angriffsszenario umfangreicher, auch wenn die Art des Fehlers dieselbe ist. Dies führt zu einer Note mit höherer Priorität. Wenn diese Schwachstelle eine Komponente betrifft, die fast jeder SAP-Kunde weltweit aktiviert hat, ist die Situation noch gravierender. Dies ist der Fall bei der SAP-Sicherheitsnotiz Nr. 2698996, die diesen Monat veröffentlicht und von Onapsis Research Labs gemeldet wurde.
[CVE-2018-2494] Fehlende Berechtigungsprüfung in den SAP-Customizing-Tools
Der SAP-Sicherheitshinweis Nr. 2698996, der als„hohe Priorität“ eingestuft wurde, behebt dreivon den Onapsis Research Labs gemeldeteSicherheitslücken. DieSicherheitslücken, bei denen es sich umfehlende Berechtigungsprüfungenhandelt, wurden vom Onapsis-Forscher Matías Sena entdeckt. Der fehlerhafte Code betrifft sowohl SAP NetWeaver ABAP- als auch S4/HANA-Systeme. Diese Systeme nutzen viel gemeinsamen ABAP-Code und weisen, wie in diesem Fall, dieselben Fehler auf. Das Problem besteht darin, dass mehrere Funktionen zur Anpassung verschiedener Arten vonRFC-Verbindungen verwendet werden, jedoch nicht für alle Arten. Dieser Sicherheitshinweis hat einen CVSS-3-Wert von 8,3/10.
Diese Sicherheitslücke ist deshalb besonders kritisch, weil ein Angreifer, der lediglich über Netzwerkzugriff auf SAP-Server und die Anmeldedaten eines normalen Benutzers verfügt, Systemanpassungen vornehmen kann, die normalerweise SAP-BASIS-Administratoren vorbehalten sind.
Diese Sicherheitslücke ermöglicht es einem Angreifer, bestimmte Arten vonRFC-Verbindungen aus der Ferne zu verwalten. Er kann die von dieser Sicherheitslücke betroffenen RFC-Verbindungen auflisten, erstellen, ändern, aktivieren oder löschen. Betroffen sind RFC-Verbindungenvom Typ L (logische Ziele), Typ 3 (ABAP-Systeme), Typ H (HTTP-Verbindung zu einem ABAP-System) sowie – in geringerem Maße – vom Typ T (TCP/IP-Verbindungen).
Bei jedem Typ sind die möglichen Aktionen eines Angreifers nahezu identisch (allerdings können die potenziellen geschäftlichen Auswirkungen zunehmen). So kann ein Angreifer beispielsweise allein durchdas Aufzählender RFC-Verbindungen und deren KonfigurationenInformationen über die Verbindungen zwischen SAP-Systemen sammeln,die für einen weiteren Angriff genutzt werden können (bekannt als dieErkundungsphaseeines Cyberangriffs).
Ein weiteres Szenario könnte das Löschen oder Ändern einer oder mehrerer RFC-Verbindungen sein, umdie Kommunikation zwischen verschiedenen Systemen zu stören. Zu den denkbaren böswilligen Zielen eines solchen Angriffs gehört beispielsweise dieUnterbrechung der Kommunikationeines Überwachungs- und Managementsystems wieSAP Solution ManageroderSAP GRC. Dies würde dessen normale Funktionsweise verhindern, da diese Systeme keine Verbindung herstellen könnten, um die von ihnen verwalteten SAP-Systeme innerhalb der Organisation zu überwachen oder zu verwalten. Eine solche Maßnahme könnte dazu dienen, einen anderen laufenden Angriff zu verschleiern – eine gängige Taktik von Angreifern gegen überwachte Systeme.
Was kann man noch tun? Durch die Änderung einer RFC-Destination imTransport Management System könnte ein Angreifer möglicherweise bewirken, dass ein Stück modifizierter Code direkt von einem Entwicklungs- in ein Produktionssystem gelangt, anstatt die üblichen Schritte eines Freigabeprozesses im QA-/Testsystem zu durchlaufen.
Schließlich könnte die Ausnutzung dieses Fehlers imschlimmstenFall dazu genutzt werden, einenMan-in-the-Middle-Angriff (MitM) in einer SAP-Umgebung zu verüben. Der Angreifer könnte die Schwachstelle ausnutzen, indem er eine RFC-Destination von einem legitimen SAP-System auf seinen eigenen bösartigen Server umleitet, wo der umgeleitete Informationsfluss manipuliert werden kann, beispielsweise durch Datenexfiltration oder böswillige Änderungen, die zu Betrug führen können.
Wirempfehlen dringend, diese Sicherheitslücke so schnell wie möglich zu schließen undzu prüfen,ob die strengeren Berechtigungsanforderungen für die Verwaltung von RFC-Zielen bereits nur für die Benutzer gelten, die diese benötigen. Dies ist die Berechtigung für „S_RFC_ADM“, wie im Abschnitt „Lösung“ des Sicherheitshinweises beschrieben.
Sicherheitslücken im SAP Mobile Secure Android-Client
Der zweite Sicherheitshinweis dieses Monats (Nr. 2707024) befasst sich mit zwei von Onapsis gemeldeten Sicherheitslücken. Er enthält Korrekturen für zwei Sicherheitsfehler,die imSAP Mobile Secure Android-Client,früher bekannt alsSAP Afaria Android-Client, entdeckt wurden. Dieser Fehler wurde ebenfalls von dem Onapsis-Forscher Yvan Genuer entdeckt, ebenso wie der imBlogbeitrag des letzten Monats beschriebene.
In diesem Hinweis sind die beiden Sicherheitslücken auffehlende Berechtigungenzurückzuführen,die für bestimmte Funktionen des Content-Providersin diesem Secure Android-Clienterforderlich sind. Eine Schwachstelle ermöglicht es einer nicht privilegierten bösartigen App, beliebige Inhalte in das SAP Mobile Secure-Debugging-Protokoll zu schreiben, wodurch der Angreifer seine Aktionen verbergen und Speicherplatz beanspruchen kann. Die daraus resultierenden Auswirkungen sind gering, ebenso wie der CVSS-Score. Onapsis hatte hierfür die Stufe 4 vergeben, SAP schätzte den Wert jedoch auf 2,9 ein. Auf einem nicht gepatchten Mobilgerät könnte dies dem Angreifer helfen, seine Aktionen zu verbergen, wenn er andere Schwachstellen ausnutzt.
Die andere anfällige Funktion ist auch für eine nicht privilegierte bösartige App zugänglich, die auf demselben Gerät ausgeführt wird. Sie kann missbraucht werden, um bestimmte Konfigurationsdateien der Mobile Secure App zu lesen und zu ändern. Auf diese Weise kann ein Angreifer auf bestimmte Konfigurationsdateien der anfälligen App zugreifen und diese für weitere Angriffe abgreifen. Außerdem kann er Teile dieser Konfiguration so ändern, dass sich das Verhalten der SAP Mobile Secure App verändert.
Sie sollten alle mobilen Systeme patchen, die in der Sicherheitsmitteilung beschriebene Lösung befolgen und die Software auf dem neuesten Stand halten. Dieaktuellste Version von„Mobile-Secure.apl“istBuild 6.60.19942.0 SP28 1711.
Aktuelle Nachrichten und wichtige Hinweise
Heute wurden zweiHot Newsveröffentlicht – eine davon betrifftSAP Hybris Commerce.Die Mitteilung Nr. 2711425 behandelt eineCross-Site-Scripting-Sicherheitslücke (XSS)in diesem Produkt. SAP gibt an, dass die betroffenen Versionen von SAP Hybris Commercedie Versionen 6.2 bis 6.7 und 18.08sind, einschließlich früherer und nicht mehr unterstützter Versionen.Alle Storefronts, die auf nicht aktualisierten Versionen von Hybris Commerce basieren, sind anfällig.
SAP warnt davor, dass auchaktualisierte Installationen weiterhin anfällig sein können, wenn sie einen Storefront betreiben, der auf früheren, anfälligen Versionen von Hybris Commerce basiert. Der Grund dafür ist, dass das Problem, also die Sicherheitslücke, in der JavaScript-Datei„webApplicationInjector.js“ (oder einer Kopie davon)liegt,wenn diesevon Storefronts verwendet wird. Wir empfehlen Ihnen, die in der Sicherheitsmitteilung beschriebene Lösung sorgfältig zu prüfen und sich mit dem SAP-Hybris-Updateverfahren vertraut zu machen, um die Schwachstelle zu beheben.Befolgen Sie mindestens eine der angegebenen Abhilfemaßnahmen.Wenn Sie betroffen sind, beachten Sie bitte die erheblichen Auswirkungen dieser Sicherheitsmitteilung und die einfache Ausnutzbarkeit der Schwachstelle, die durch den CVSS-Score (9,3) und den Base Vector deutlich wird.
Eineweitereaktuelle Meldungvom heutigen Tag ist die Neuauflage des Hinweises Nr. 2622660 fürden SAP Business Client. Dieser Hinweis enthältKorrekturen für 23 Sicherheitslückenin den Chromium-Steuerelementen, die in dieser SAP-Client-Software verwendet werden. Sechs dieser Fehler werden alsbesonders schwerwiegendeingestuft.Einer davon (CVE-2018-17463)ermöglicht es beispielsweise einem Angreifer, über eine manipulierte HTML-Seite beliebigen Code innerhalb der Sandbox (ein Mechanismus zur Isolierung von Browserprozessen) auszuführen. Die meisten der behobenen Schwachstellen wurden von externen Stellen gemeldet.Ein umgehendes Update auf die neueste Version SAP Business Client 6.5 PL11 wird dringend empfohlen.
Neben dem oben bereits erwähnten Hinweismit hoher Prioritätgibt es zwei weitere Hinweisemit hoher Priorität, die sich beide aufSAP NetWeaver AS Java beziehen. Eine davon ist die Note #2642680, die einefehlende XML-Validierungin SAML 2.0 behebt. Dieses SAML 2.0 erweitert SAP AS Java um eine Funktionalität, die die Integration zwischen verschiedenen Authentifizierungsdomänen durch den Austausch von Identitätsinformationen ermöglicht, wobei diese Version des SAML-Standards für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen verschiedenen Systemen verwendet wird. In diesem Fall handelt es sich um die Integration zwischen dem unternehmensinternen SSO-Mechanismus und den cloud Dienstanbietern. Die Schwachstelle ermöglicht es einem Angreifer, einenDenial-of-Service-Angriffdurchzuführen undbeliebige Dateienvom anfälligen Serverabzurufen. Der Angriff haterhebliche Auswirkungen auf die Verfügbarkeitund kann aus der Ferne und mit geringen Berechtigungen von einer nicht vertrauenswürdigen Quelle aus durchgeführt werden.
Der zweite Hinweismit hoher Priorität, derSAP NetWeaver AS Javabetrifft, bezieht sich auf einefehlerhafte StandardberechtigungimAS Java-Keystore. Der Hinweis Nr. 2658279enthält Anweisungen zum Patchen der betroffenen Serverversionen: 7.11, 7.20, 7.30, 7.31, 7.40 und 7.50. Der Java-Keystore-Dienst ermöglicht die Speicherung von Zertifikaten und Schlüsseln, wie sie beispielsweise für Anmelde-E-Mails über SSL und für vertrauenswürdige Zertifizierungsstellen verwendet werden. Die Auswirkung dieses Sicherheitsfehlers besteht darin, dass Zugriff auf sensible Informationen aus dem Keystore möglich ist, die dazu genutzt werden können, Zugriff auf geschützte Ressourcen zu erlangen oder eine Dienstunterbrechung zu verursachen, falls ein Schlüssel oder ein Zertifikat böswillig gelöscht oder verändert wurde.
Zusammenfassung und Schlussfolgerungen
In diesem Monat gibt es mehrere relevante SAP-Sicherheitshinweise, die, wenn sie nicht behoben werden, schwerwiegende Sicherheitsrisiken nach sich ziehen können, darunter einen Hinweismit hoher Priorität, der die meisten SAP-Kunden betrifft. Nachfolgend finden Sie eine Übersicht über die Art der Fehler, die SAP in diesem Monat durch seine Sicherheitshinweise behoben hat:
SAP würdigte Onapsis durch zwei Forscheraus unserenResearch Labs, Matías Sena und Yvan Genuer, die SAP dabei unterstützt haben, die Sicherheit und Integrität der Systeme ihrer Kunden zu verbessern. Wie bei Onapsis üblich, arbeiten wir daran, die Onapsis Security Platform zu aktualisieren, Platform diese neu veröffentlichten Schwachstellen zu berücksichtigen. So können unsere Kunden überprüfen, ob ihre Systeme auf dem neuesten Stand der SAP-Sicherheitshinweise sind, und sicherstellen, dass diese Systeme mit dem erforderlichen Sicherheitsniveau konfiguriert sind, um ihre Audit- und Compliance-Anforderungen zu erfüllen.
FolgenSieunserem ERP-Sicherheitsblogoderfolgen Sie uns auf Twitter, um weitere Informationen zu den neuesten SAP-Sicherheitsproblemen zu erhalten, und freuen Sie sich auf unseren Jahresrückblick-Blogbeitrag im Vorfeld des ersten Patch Day im Januar.