SAP-Sicherheitspatch-Tag Dezember 2020: Schwerwiegende Sicherheitslücke in SAP NetWeaver AS JAVA erfordert sofortige Installation des Patches

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Dezember gehören:

• Zusammenfassung für Dezember—14 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter vier HotNews-Hinweise und zwei Hinweise mit hoher Priorität
• Beiträge der Onapsis Research Labs—Die Onapsis Research Labs SAP bei der Behebung von sieben Sicherheitslücken, die Gegenstand einer HotNews-, einer High-Priority- und einer Low-Priority-Meldung waren 
• Kritischer Patch für AS JAVA—Eine Sicherheitslücke aufgrund fehlender Authentifizierung führt zu einer weiteren CVSS-10-Sicherheitslücke

SAP hat an seinem Patch Day im Dezember 14 neue und aktualisierte Sicherheitshinweise veröffentlicht. Darunter befinden sich vier „HotNews“-Hinweise und zwei Hinweise mit hoher Priorität.

Das SAP-Sicherheitsjahr endet mit einer relativ geringen Anzahl neuer und aktualisierter SAP-Sicherheitshinweise. Mit nur 14 Hinweisen liegt die Zahl deutlich unter dem diesjährigen Durchschnitt von 20. Dennoch lohnt es sich, einen genaueren Blick auf die behobenen Probleme zu werfen, da fast 50 % davon als „HotNews“ oder „High Priority Note“ eingestuft sind und einige der veröffentlichten Hinweise mehrere Sicherheitslücken beheben. 

Ein weiterer bemerkenswerter Aspekt des Patch Day im Dezember ist die Tatsache, dass wir mit dem SAP-Sicherheitshinweis Nr. 2974774 bereits den fünften SAP-Sicherheitshinweis im Jahr 2020 haben, der mit dem höchstmöglichen CVSS-Wert von 10 versehen ist. Mit Ausnahme der wiederkehrenden Chromium-Note, die im letzten Monat auf einen CVSS-Wert von 10 aktualisiert wurde, sind alle anderen CVSS-10-Noten das Ergebnis der hervorragenden Zusammenarbeit der Onapsis Research Labs dem SAP-Sicherheitsteam.

Im Fokus: SAP NetWeaver AS JAVA

Onapsis Research Labs kürzlich eine Reihe verschiedener Sicherheitslücken in der Cluster-Manager-Komponente von SAP NetWeaver AS JAVA entdeckt. Diese Sicherheitslücken ermöglichen es einem nicht authentifizierten Angreifer, der eine Verbindung zu den entsprechenden TCP-Ports herstellen kann, verschiedene privilegierte Aktionen auszuführen, wie zum Beispiel:

• Neue vertrauenswürdige SSO-Anbieter einrichten
• Ändern der Datenbankverbindungsparameter
• Zugriff auf Konfigurationsinformationen erhalten

Durch Ausnutzung einiger dieser Aktionen könnte ein Angreifer möglicherweise uneingeschränkten Zugriff auf das betroffene SAP-System erlangen oder einen Denial-of-Service-Angriff durchführen, der das SAP-System lahmlegt. 

Der SAP-Sicherheitshinweis Nr. 2974774, der mit einem CVSS-Score von 10 versehen ist, behebt die oben genannten Sicherheitslücken. Der Patch wird nicht für alle Support-Paket-Stufen bereitgestellt, und im beigefügten KBA-Hinweis Nr. 2997167 verweist SAP ausdrücklich auf seine 24-Monats-Regel und erklärt, dass Sicherheitspatches nur für Support-Pakete bereitgestellt werden, die nicht älter als 24 Monate sind. Die gute Nachricht ist, dass der Hinweis auch eine manuelle Abhilfe bietet, die potenzielle Angreifer daran hindert, eine Verbindung zum P2P-Server-Socket-Port herzustellen und die Kommunikation zwischen den Cluster-Elementen auszuspähen. Diese Abhilfe kann auch von Kunden angewendet werden, die SAP NetWeaver AS JAVA auf einem Support-Paket-Level betreiben, für den kein Patch bereitgestellt wird.

Ein weiterer Beitrag der Onapsis Research Labs

Onapsis Research Labs die Onapsis Research Labs haben zur Behebung von drei Sicherheitslücken im SAP Solution Manager beigetragen:

Der High-Priority-Hinweis Nr. 2983204, der mit einem CVSS-Wert von 8,5 versehen ist, behebt eine Path-Traversal-Sicherheitslücke und eine Sicherheitslücke aufgrund fehlender Authentifizierung in der Komponente „User Experience Monitoring“ des Solution Managers. Durch Ausnutzung beider Schwachstellen könnte ein Angreifer, der über einen nicht privilegierten Benutzerzugang verfügt, die Verfügbarkeit teilweise beeinträchtigen, indem er bestimmte Dienste unzugänglich macht. Die Exploits würden es dem Angreifer sogar ermöglichen, Zugriff auf sensible Informationen wie Benutzernamen und Passwörter zu erlangen, die für den Zugriff auf andere SAP-Systeme in der Landschaft verwendet werden können.

Der SAP-Sicherheitshinweis Nr. 2938650, der mit einem CVSS-Wert von 3,4 versehen ist, behebt eine Open-Redirect-Sicherheitslücke in der Anwendung „E2E Trace Analysis“ des SAP Solution Manager. Die Sicherheitslücke würde es einem Angreifer ermöglichen, einen Social-Engineering-Angriff durchzuführen, um einen SAP Solution Manager-Administrator dazu zu verleiten, auf einen bösartigen Link zu klicken, wodurch der Angreifer dessen Anmeldedaten stehlen und Zugriff auf das SAP-System erlangen könnte. Der bereitgestellte Patch stellt sicher, dass die Anwendung nur Anfragen an URLs sendet, die zum Solution Manager selbst gehören.

Weitere wichtige SAP-Sicherheitshinweise im Dezember

Am Patch Day im Dezember wurden drei weitere HotNews-Hinweise veröffentlicht:
 
Der SAP-Sicherheitshinweis Nr. 2989075, der mit einem CVSS-Score von 9,6 bewertet wurde, behebt eine Schwachstelle durch fehlende XML-Validierung in der Crystal-Report-Komponente von SAP Business Objects. Ein Exploit würde es einem Angreifer mit grundlegenden Berechtigungen ermöglichen, beliebige XML-Entitäten einzuschleusen, was zur Offenlegung interner Dateien und Verzeichnisse sowie zu Server-Side-Request-Forgery- (SSRF) und Denial-of-Service- (DoS) Angriffen führen könnte. 
 
SAP-Sicherheitshinweis Nr. 2973735, der mit einem CVSS-Score von 9,1 bewertet wurde, wurde bereits einen Tag nach dem SAP-Patch-Day im November veröffentlicht. Die behobene Schwachstelle betrifft die SAP Landscape Transformation (SLT)-Komponente von SAP NetWeaver AS ABAP- und S/4 HANA-Systemen und ermöglicht es einem Angreifer, von einem entfernten Standort aus beliebigen Code einzuschleusen und auszuführen und so control vollständige control das betroffene System zu erlangen.
 
Der SAP-Sicherheitshinweis Nr. 2983367, der ebenfalls mit einem CVSS-Score von 9,1 versehen ist, beschreibt eine weitere Code-Injection-Sicherheitslücke, die SAP BW Master Data Management und SAP BW4HANA betrifft. Nur die Tatsache, dass ein Angreifer hohe Berechtigungen benötigt, verhindert, dass diese Schwachstelle die sechste CVSS-10-Schwachstelle im Jahr 2020 wird. Mit diesen Berechtigungen kann ein Angreifer manipulierte Anfragen senden, um beliebigen Code ohne zusätzliche Benutzerinteraktion zu generieren und auszuführen, was potenziell zu einer vollständigen Kompromittierung der Vertraulichkeit, Integrität und Verfügbarkeit des Systems führen kann. 
 
Der Hinweismit hoher Priorität Nr. 2993132, der mit einem CVSS-Score von 7,6 versehen ist, behebt ein weiteres Problem in der SLT-Komponente von SAP NetWeaver AS ABAP- und S/4 HANA-Systemen. Eine fehlende explizite Berechtigungsprüfung in einem remote-fähigen Funktionsbaustein ermöglichte es einem Benutzer mit hohen Berechtigungen, Funktionen auszuführen, auf die der Zugriff eigentlich beschränkt sein sollte.

Zusammenfassung und Schlussfolgerungen

Mit 220 veröffentlichten SAP-Sicherheitshinweisen im Jahr 2020 verzeichnen wir einen Anstieg von 23 % gegenüber 2019 (179) und eine ähnliche Zahl wie im Jahr 2018 (215). Betrachtet man die Anzahl der HotNews-Hinweise , so gibt es einen weiteren Trend, der Beachtung verdient. Mit insgesamt 27 HotNews-Hinweisen hat sich die Anzahl der Hinweise, die mit einem CVSS-Score zwischen 9 und 10 versehen wurden, im Vergleich zu 2019 (13) mehr als verdoppelt und ist mehr als fünfmal so hoch wie im Jahr 2018 (5). Das ist Grund genug, sich den zweiten Dienstag jedes Monats schon jetzt in Ihren Kalendern für 2021 vorzumerken. Lassen Sie uns gemeinsam dazu beitragen, SAP zu schützen, indem wir eine hervorragende Patch-Hygiene praktizieren. 

Wie immer Onapsis Research Labs bereits Onapsis Research Labs , die Platform zu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.

Wenn Sie mehr über die jüngsten Sicherheitslücken im SAP Solution Manager erfahren möchten und darüber, wie die Onapsis Research Labs , Ihre SAP-Landschaft zu schützen, laden Sie unsere neueste SAP-Sicherheitsstudie „Prävention von Cyberangriffen auf den SAP Solution Manager“ herunter.