SAP-Sicherheitshinweise Dezember 2017: Was Sie über den erneut veröffentlichten „Hot News“-Hinweis wissen sollten

Von:

12. Dezember 2017

Zum Abschluss des Jahres 2017, dem letzten „SAP Note Tuesday“ des Jahres, hat SAP in diesem Monat insgesamt 19 Notes veröffentlicht. Sechs dieser Notes wurden bereits im Laufe des Monats veröffentlicht, die restlichen 13 wurden heute veröffentlicht.

Im Laufe dieses Monats veröffentlichte SAP den einzigen „Hot News“-Hinweis für den Monat Dezember (Nr. 2357141). Er betrifft die erneute Veröffentlichung eines Hinweises im Zusammenhang mit einerSicherheitslücke, die von den Onapsis Research Labs. Das Update in der Neuauflage beschreibt zusätzliche manuelle Schritte zur Behebung einer Funktionsstörung im SAP GUI, die durch einen zuvor veröffentlichten Patch verursacht wurde. Wir haben jedoch festgestellt, dass das Weglassen dieser neu eingeführten Schritte kein Sicherheitsrisiko darstellt.

Neben dem erneut veröffentlichten „Hot News“-Hinweis hat SAP drei weitere Sicherheitshinweise zu Schwachstellen veröffentlicht, die von den Onapsis Research Labs entdeckt wurden. Wir haben versucht, einige SAP-Begriffe wie SAP HANA XSA, SAP GUI for HTML und SAP Startup Services im Zusammenhang mit den gefundenen Schwachstellen zu erläutern. Die Erläuterungen zu diesen Konzepten und Schwachstellen finden Sie weiter unten.

In diesem Monat wurden drei Hinweise mit hohem Schweregrad veröffentlicht. Hinweis Nr. 2026174beschreibt eine Neuauflage, die nun aktualisierte CVSS-Informationen enthält. Hinweis Nr. 2449757beschreibt eine Sicherheitslücke in der Art und Weise, wie SAP-Systeme sich selbst vertrauen. Schließlich betrifft Hinweis Nr. 2537152eine fehlende Authentifizierungsprüfung in SAP Business Intelligence (BI).

Die meisten Meldungen dieses Monats – genauer gesagt 15 – weisen einen mittleren Schweregrad auf.

Übersicht nach Schwachstellentyp (Bild)

Eine interessante Neuerung ist, dassSAP seit diesem Monat CVE-Nummernin den Titeln seiner Sicherheitshinweiseveröffentlichtund im Textkörper der Hinweise direkt darauf verlinkt. Dies geht auf diefrühere Ankündigungzurück, dass SAP ab Dezember dieses Jahres offiziell als CVE-Autorität fungieren wird.

Bevor wir auf die Details und wichtigsten Punkte eingehen, gibt es noch einen weiteren Hinweis mittlerer Priorität (#2549983 – [CVE-2017-16687]) bezüglich der Offenlegung von Informationen in SAP HANA User. In diesem Fall kann ein Angreifer aufgrund einer fehlerhaften Fehlermeldung im Dienst durch Brute-Force-Angriffe gültige Benutzer ermitteln. Obwohl die Installation des Patches erforderlich ist, wird dringend empfohlen, zu berücksichtigen, dassbei aktiviertem SAP HANA Self-Service kritischere Fehler entdeckt wurden. Stellen Sie sicher, dass Sie alle diese Fehler beheben, einschließlichdes SAP-Sicherheitshinweises Nr. 2424173, der als „Hot News“ gekennzeichnet ist.

Sollte ich mir wegen der neu veröffentlichten „Hot News“ Sorgen machen? Wie wichtig ist das?

Am 30. November veröffentlichte SAP einen als „Hot News“ gekennzeichneten Sicherheitshinweis mit dem Titel „OS-Befehlsinjektionsschwachstelle im Bericht zum Terminologieexport“. Bei diesem Hinweis handelt es sich um eine Neuauflage. Der Sicherheitshinweis Nr. 2357141wurde ursprünglich vor einem Jahr veröffentlicht, nachdem die Schwachstelle von den Onapsis Research Labs entdeckt und gemeldet worden war. Als wir in unseremmonatlichen Blogbeitrag erstmals über die Sicherheitslücke berichteten, erklärten wir, dass die betroffenen Codezeilen gelöscht worden waren, da sie veraltet waren. Im Grunde hat SAP den gesamten Code entfernt, der früher ausgeführt wurde, wenn der Bericht im Hintergrund lief. Daher ist es etwas überraschend, dass dieser Sicherheitshinweis erneut veröffentlicht wurde. Im Folgenden werden wir analysieren, was sich geändert hat.

Gelegentlich stellen Softwareanbieter fest, dass ihr ursprünglicher Patch den Fehler nicht ordnungsgemäß behoben hat, und erstellen einen zweiten Patch, um das Problem zu beheben. Wenn ein Patch erneut veröffentlicht wird, ist es wichtig, ihn unter Sicherheitsgesichtspunkten zu prüfen und zu implementieren. In diesem Fall fügte SAP einen Kommentar in der Notiz hinzu, in dem behauptet wird, dass die Informationen zu „Lösung und Anhang“ aktualisiert wurden. Die Lösung zur Behebung dieser Schwachstelle, die mit einer CVSS v3-Basisbewertung von 9,1/10 gekennzeichnet ist, enthält nun einen zusätzlichen Schritt. Die beiden Schritte zur Behebung des Fehlers lauten wie folgt:

  1. Führen Sie die in dem SAP-Hinweis genannten Korrekturmaßnahmen durch.
  2. Befolgen Sie die manuellen Schritte im Dokument „Manuelle Anleitung zur Erstellung eines GUI-Status im Zusammenhang mit Hinweis 2357141.pdf“, das Sie im SAP-Kundenportal finden.

Onapsis Research Labs die Komponente getestet und festgestellt, dass der vorherige Patch den Fehler zwar ordnungsgemäß behebt, jedoch eine Fehlfunktion in der SAP-Software verursacht. Obwohl die Sicherheitslücke geschlossen wurde, kommt es nach der Installation des Patches zu einer Störung der Berichtsoberfläche im SAP GUI, die auf Interaktionen wie Klicks auf Schaltflächen nicht mehr reagiert. In einer neuen Anleitung wird beschrieben, wie dieses Problem manuell behoben werden kann, um den Bericht auszuführen und gleichzeitig die Sicherheit zu gewährleisten.

Zusammenfassend lässt sich sagen, dass diese neu veröffentlichte Sicherheitsmitteilung keine zusätzlichen Sicherheitsbedenken mit sich bringt.Wenn Sie den ursprünglichen Patch bereits installiert haben, sind Sie geschützt.Falls Sie diese Komponente und die zugehörigen Berichte nutzen, wird dringend empfohlen, die Installation der Mitteilung nicht aufzuschieben, da die damit verbundenen Einschränkungen der Benutzerfreundlichkeit durch das in diesem Monat veröffentlichte neue Verfahren problemlos behoben werden können.

Was ist, wenn Sie den ursprünglich im Jahr 2016 veröffentlichten Patch nicht installiert haben? Sie sollten dies so schnell wie möglich nachholen.Die Sicherheitsmitteilung ist als „Hot News“ gekennzeichnet, da eine erfolgreiche Ausnutzung dieser Schwachstelle zu einer Rechteausweitung, Datenverlust oder einem Denial-of-Service-Angriff führen könnte, wenn die entsprechenden Befehle ausgeführt werden. Im folgenden Beispiel führen wir lediglich einen Ping als Befehlsinjektion aus, um einen Proof-of-Concept zu demonstrieren:

Im Hintergrund ausführen – Bild

Wenn Sie sich auf dem Server anmelden und einen tcpdump ausführen, können Sie sehen, dass der Befehl im Hintergrund ausgeführt wird:

Befehl im Hintergrundbild

Zusammenfassend lässt sich sagen, dass es sich hierbei um einen ein Jahr alten „Hot News“-Hinweis handelt, der vorrangig behandelt werden sollte, falls die Installation ursprünglich nicht ordnungsgemäß erfolgt ist; wurde die Installation jedoch ursprünglich ordnungsgemäß durchgeführt, könnte die Priorität geringer sein, da das Upgrade lediglich Auswirkungen auf die Benutzerfreundlichkeit hat.

Sicherheitshinweise, gemeldet von Onapsis Research Labs

Alle drei von Onapsis in diesem Monat entdeckten Sicherheitslücken ermöglichen das Einschleusen von Inhalten in Teile der Software, die nicht dafür ausgelegt sind, diese korrekt zu verarbeiten. Eine der Sicherheitslücken betrifft eine Log-Injection-Schwachstelle in SAP HANA. Genauer gesagt befindet sich der Fehler in einer SAP-HANA-Anwendungskomponente namens XSA. Ein zweiter Fehler ermöglicht das Einschleusen von Code in Inhalte, die Benutzern im SAP GUI for HTML bereitgestellt werden. Schließlich ermöglicht der letzte Hinweis die unbeabsichtigte Umleitung eines Benutzers durch das Einschleusen bösartiger Host-Header-Informationen in Webanfragen, die an Startdienst-Ports gerichtet sind.

Sicherheitslücken durch Log-Injection in SAP HANA XSA

SAP HANA (High-Performance Analytic Appliance) ist platform (RAM) von SAP platform es ermöglicht, riesige Datenmengen sehr schnell zu verarbeiten. In SAP-HANA-Versionen ab SP5 wurde eine logische Software-Schicht eingeführt, die direkt über der Datenbank-Schicht angesiedelt ist. Diese Anwendungsschicht der ersten Generation heißt SAP HANA XS (Extended Application Services) und ermöglicht es Entwicklern, über HTTP-basierte Anfragen einfach mit den Daten und Funktionen in der HANA-Datenbank zu interagieren. Die XS-Schicht ist im Grundeeine ressourcenschonende Anwendung und ein Webserver innerhalb von SAP HANA selbst. Das Ziel von SAP war es, die Entwicklung für sich selbst, seine Kunden und seine Partner zu vereinfachen, indem die Entwicklungsumgebung „on the box“ bereitgestellt wurde.

Die Weiterentwicklung von XS führte zu einer Anwendungsschicht der zweiten Generation: XSA (Extended Application Services, erweitertes Modell). Auch wenn XSA die Stärken seines Vorgängers nutzt, handelt es sich um eine komplette Neukonzeption des Konzepts eines integrierten Anwendungsservers, die auf eine engere Integration zwischen HANA On-Premise undPlatform HANA Cloud Platform ausgelegt ist. Ab SAP HANA SP11 bietet der XSA-Anwendungsserver Anwendungsentwicklern eine umfangreiche Auswahl an Laufzeiten (Node.js, Java, C++). Auf Basis dieser Laufzeiten können Entwickler Webanwendungen erstellen, die Kunden über ihren Browser nutzen und mit denen sie interagieren können.

Zwei Sicherheitslücken in XSA wurden vom Onapsis-SicherheitsforscherPablo Artuso entdeckt. Beide betreffen Schwachstellen durch Log-Injection und werden gemeinsam in der SAP-Mitteilung Nr. 2522510 beschrieben.

Der erste Fehler nutzt das Fehlen einer ordnungsgemäßen Validierung von Benutzereingaben beim Zugriff auf bestimmte HTTP/REST-Endpunkte des Controller-Dienstes aus. Durch das Senden einer benutzerdefinierten POST-Anfrage könnten Angreifer ohne entsprechende Berechtigungen das Audit-Protokoll mit selbst gewählten Protokolleinträgen manipulieren.

Die zweite Sicherheitslücke betrifft UAA (User Account and Authentication Services), die zentrale Infrastrukturkomponente in XSA für die Benutzerauthentifizierung. Kurz gesagt ermöglicht diese Komponente die Authentifizierung von Benutzern. Benutzer melden sich beim Webserver an, indem sie eine bestimmte HTTP-POST-Anfrage senden. Angreifer können eine Anmeldeanfrage mit gefälschten Anmeldedaten vortäuschen und dabei eigenen Text einfügen, der in das entsprechende Audit-Protokoll geschrieben wird.

SAP hat die Sicherheitslücken behoben. Als vorübergehende Abhilfe während der Installation des Notes können Benutzer jedoch weiterhin Protokolle erstellen, indem sie syslog anstelle der lokalen Protokolle aktivieren.

Sicherheitslücke durch Code-Injektion in ITS

Der SAP Integrated Transaction Server (ITS) stellt die Middleware bereit, die es Web-Browsern ermöglicht, direkt mit dem SAP-Server zu interagieren. Die Interaktion erfolgt im Browser über die SAP-GUI-for-HTML-Oberfläche. Mit SAP GUI for HTML können Transaktionen direkt im Web-Browser ausgeführt werden. Der ITS sorgt für eine Eins-zu-Eins-Zuordnung zwischen den SAP-Bildschirmfeldern der klassischen GUI (Textfelder, Eingabefelder) und den Feldern der SAP-GUI-for-HTML-Oberfläche.

Der Onapsis-Sicherheitsforscher Matias Sena hat festgestellt, dass ein Angreifer mit Administratorrechten in der Lage ist, bösartigen Code in eine ITS-Middleware-Komponente einzuschleusen. Der bösartige Code kann anschließend an einen ahnungslosen Benutzer ausgeliefert werden, wodurch der Angreifer control Verhalten der Webanwendung erlangt, einschließlich der Ausführung von clientseitigen Skripten (XSS). Die Sicherheitslücke wird im SAP-Sicherheitshinweis Nr. 2526781 beschrieben.

Sicherheitslücke durch URL-Umleitung im Startdienst

Der SAP Startup Service bietet Funktionen zum Starten, Stoppen und Überwachen von SAP-Systemen, -Instanzen und -Prozessen. Der Dienst läuft unter dem Namen„sapstartsrv“. Er startet den Dienst„sapstartsrv“sowie„SAPHostControl“, der die Hosts überwacht. Die Dienste„sapstartsrv“ und„SAPHostControl“ nutzendie Ports 5xx13 bzw. 1128.

Die Onapsis-Sicherheitsforscher Andres Blanco und Nahuel Sanchez entdeckten eine Sicherheitslücke, die es einem nicht authentifizierten Angreifer aus der Ferne ermöglicht, einen Benutzer dazu zu verleiten, eine HTTP(S)-Anfrage mit einem speziell gestalteten „Host-Header“ an die genannten Ports zu senden. Nach dem Auslösen dieser Anfrage könnten die betroffenen Dienste den betroffenen Benutzer auf eine vom Angreifer kontrollierte Website umleiten.

Ein weiteres Jahr mit den SAP-Sicherheitshinweisen

Um uns in diesem Monat an SAP anzupassen, nehmen wir auch die CVE-Nummer in unsere SAP-Sicherheitshinweis-Datenbank auf. Auf diese Weise können unsere Kunden diese Informationen künftig in den Bewertungsergebnissen einsehen:

Automatisierte Einhaltung der DSGVO

Vier Forscher aus unserem Research Labs-Team wurdendiesen Monat von SAP auf dessen Webseitefür ihren Beitrag zur kontinuierlichen Verbesserung der SAP-Sicherheitgewürdigt. Wie immer arbeiten wir auch daran, die Onapsis Security Platform aktualisieren, Platform diese neu veröffentlichten Sicherheitslücken zu berücksichtigen. Dadurch können unsere Kunden überprüfen, ob ihre Systeme auf dem neuesten Stand der SAP-Sicherheitshinweise sind, und sicherstellen, dass diese Systeme mit dem erforderlichen Sicherheitsniveau konfiguriert sind, um ihre Audit- und Compliance-Anforderungen zu erfüllen.

Heute fand die letzte Sammelveröffentlichung des Jahres statt. Bis zum Jahresende sind noch einige weitere Hinweise zu erwarten. SAP hat bis heute 271 Sicherheitshinweise veröffentlicht, was die niedrigste Zahl seit 2009 wäre, dem Gründungsjahr von Onapsis. Gleichzeitig würde diese Zahl (knapp 300) bestätigen, waswir bereits Anfang des Jahres analysiert und prognostiziert haben: Die SAP-Sicherheit befindet sich in einer stabileren Phase. Bleiben Sie auf unserem Blog auf dem Laufenden; wir werden in Kürze weitere Details zur Gesamtjahresanalyse veröffentlichen.

Stichwörter, , ,
Über den Autor

Waldo Spek

Waldo Spek ist ein versierter Experte für Cybersicherheit mit umfassender Erfahrung im Schutz von Unternehmenssystemen und im Management von IT-Sicherheitsrisiken. Als Spezialist für SAP-Sicherheit und Compliance hat Waldo eine entscheidende Rolle dabei gespielt, Unternehmen beim Schutz ihrer wichtigsten Geschäftsanwendungen zu unterstützen. Seine Fachkenntnisse im Bereich Schwachstellenmanagement, kombiniert mit seinem strategischen Ansatz zur Cyberabwehr, stellen sicher, dass Unternehmen gut gerüstet sind, um mit sich ständig weiterentwickelnden Bedrohungen umzugehen und gleichzeitig die Betriebsintegrität aufrechtzuerhalten.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen