SAP-Sicherheitshinweise Februar 2018: Onapsis unterstützt SAP bei der Behebung mehrerer Sicherheitslücken in HANA XS Advanced

Heute ist der zweite Dienstag im Februar, und unsere Leser wissen bereits, dass SAP heute seine monatlichen Sicherheitshinweise veröffentlicht hat. Nachstehend finden Sie unseren monatlichen Bericht darüber, wie Sie Ihre ERP-Sicherheit verbessern und Ihre wichtigsten Daten schützen können.

SAP hat heute 12 neue Sicherheitshinweise veröffentlicht, womit sich die Gesamtzahl auf 26 erhöht, wenn man die nach dem zweiten Dienstag des letzten Monats veröffentlichten Hinweise mitzählt.

Fünf Sicherheitshinweise sind mit „Hohe Priorität“ gekennzeichnet und sollten so schnell wie möglich behoben werden. SAP hat zwei Sicherheitshinweise veröffentlicht Onapsis Research Labs die mehrere von den Onapsis Research Labs entdeckte Sicherheitslücken abdecken Onapsis Research Labs einer davon, Sicherheitslücken in SAP HANA XS Advanced (XSA) (Nr. 2589129 ), wurde mit „Hohe Priorität“ gekennzeichnet. Dieser spezielle Sicherheitshinweis fasst insgesamt acht von Onapsis gemeldete Sicherheitslücken zusammen. Wir werden die Sicherheitshinweise im nächsten Abschnitt näher erläutern.

Die meisten der in diesem Monat erfassten Einträge – genauer gesagt neunzehn – weisen eine mittlere Priorität auf. Nachstehend finden Sie eine Grafik, die die Verteilung der Angriffskategorien in diesem Monat zeigt.

Meldung von Onapsis: Mehrere Fehler in XSA und ein XSS-Fehler in Java
Acht von Onapsis gemeldete Sicherheitslücken in Bezug auf SAP HANA XSA sind im SAP-Hinweis Nr. 2589129 zusammengefasst. Der weitere von den Onapsis Research Labs gemeldete Hinweis, der einen Cross-Site-Scripting-Fehler in AS Java (#2560741) betrifft, wird hier ebenfalls behandelt.

In unserem Blogbeitrag zur Sicherheitsnotiz vom Dezember 2017 haben wir erläutert, was SAP HANA XSA ist und welche Absichten SAP bei der Entwicklung verfolgte. SAP wollte die Anwendungsentwicklung für sich selbst, seine Kunden und seine Partner vereinfachen, indem es mit SAP HANA XS eine sofort einsatzbereite Entwicklungsumgebung bereitstellte. SAP HANA XSA (Extended Application Services, Advanced Model) ist die Weiterentwicklung von XS und bietet Laufzeitumgebungen, auf deren Basis Entwickler Webanwendungen erstellen können. Gerade für XSA hat SAP erneut einen Sicherheitshinweis (#2589129) veröffentlicht, der mehrere Fehler behebt, die ursprünglich von den Onapsis Research Labs gemeldet wurden.

SAP hat diesen Sicherheitshinweis als „hohe Priorität“ eingestuft. Forscher von Onapsis haben mögliche Ausnutzungsszenarien analysiert und festgestellt, dass nicht nur die Vertraulichkeit gefährdet sein kann. Durch die Verwendung der erlangten Anmeldedaten können Angriffe durchgeführt werden, die auch die Integrität und Verfügbarkeit beeinträchtigen. Beim Lesen des Hinweises kann ein Kunde Details zu allen Fehlern finden, die in der neuen Version von SAP HANA XSA behoben wurden. Obwohl SAP jede CVE mit dem entsprechenden CVSS-Risikowert angegeben hat, gibt es zwei spezifische Schwachstellen, die wesentlich kritischer sind als die anderen.

Die erste Schwachstelle besteht darin, dass ein Angreifer aus der Ferne, der sich Zugriff auf das Konto eines Controller-Benutzers mit geringen Berechtigungen verschafft hat und über die SpaceAuditor-Berechtigung verfügt, die Datenbank-Anmeldedaten der technischen Benutzer abrufen könnte, die vom System verwendet werden, um XSA-Anwendungen mit der Datenbank zu verbinden (nur in dem Bereich, in dem der Controller-Benutzer die SpaceAuditor-Rolle innehat). Bei erfolgreicher Ausführung könnten Anmeldedaten im Klartext und andere sensible Informationen abgegriffen werden. Zur Veranschaulichung zeigt das folgende Diagramm das typische MVC-Muster, das SAP als Basisarchitektur für XSA verwendet. Es ist die Controller-Schicht, die die Schwachstellen offenlegt.

Die Onapsis-Forscher Nahuel Sánchez und Pablo Artuso haben eine Reihe von Möglichkeiten entdeckt, wie böswillige Clients auf die vom Controller bereitgestellten XSA-APIs zugreifen können, was zur unbeabsichtigten Offenlegung privilegierter Benutzeranmeldedaten führt. Der Schlüssel zu allen Angriffen liegt in der sorgfältigen Auswahl der Parameter, die an die anfälligen APIs übergeben werden, was in verschiedenen Fällen dazu führt, dass unterschiedliche Informationen als Antwort ausgegeben werden. Die Informationen, die auf diese Weise offengelegt werden könnten, betreffen eine Vielzahl sensibler Daten: Benutzernamen und Passwörter für HANA-Datenbanken im Klartext, geheime Schlüssel von Anwendungs-Clients und öffentliche Schlüssel von Anwendungen.

Diese vielfältigen Ansätze zur Ausnutzung der XSA-API haben bei diesem speziellen Angriff alle eines gemeinsam: Der Zugriff auf die Datenbank kann durch den Missbrauch eines Benutzerkontos erlangt werden, dem im HANA XSA-Identitätsanbieter die Rolle mit den geringsten Berechtigungen zugewiesen wurde. Eine erfolgreiche Ausnutzung könnte dazu führen, dass (zumindest einige) Datenbanktabellen abgefragt, Benutzer gesperrt, Dienste gelöscht oder aktualisiert oder Dienstkonfigurationen geändert werden können. Der Exploit könnte die Vertraulichkeit, Integrität und Verfügbarkeit des angegriffenen Systems beeinträchtigen, was ein hohes Risiko darstellt. Dieser Fehler wurde mit einem hohen CVSS-Wert von 9,1/10 gemeldet, auch wenn der von SAP veröffentlichte endgültige Wert niedriger war.

Der zweite kritische Fehler, der von Onapsis mit einem CVSS v3-Wert von 8,6/10 gemeldet wurde, ist eine auf „Blind Boolean“ basierende SQL-Injection-Sicherheitslücke. Diese Sicherheitslücke ist zusammen mit den anderen HANA-XSA-Sicherheitslücken in Hinweis Nr. 2589129 zusammengefasst. Der zuvor erwähnte Controller stellt mehrere APIs bereit, die alle mit zahlreichen Diensten verbunden sind. Insbesondere gibt es innerhalb der exponierten API einen Dienst, der es jeder Person ohne Authentifizierung ermöglicht, SQL-Befehle in an die API gesendete Anweisungen einzuschleusen und so die normale Ausführung des anfälligen Dienstes zu verändern. Diese SQL-Abfragen sind in Webanfragen verpackt, die an die API gesendet werden. Blind-SQL-Injection ist„eine Art von SQL-Injection-Angriff, bei dem der Datenbank Ja- oder Nein-Fragen gestellt werden und die Antwort anhand der Reaktion der Anwendung ermittelt wird“. In diesem Fall beruht der „blinde und boolesche“ Aspekt der SQL-Injection darauf, dass der Angreifer den Datenbankinhalt durchläuft, indem er Textwerte anhand speziell gestalteter SQL-Abfragen mit einem booleschen Ausdruck errät. Bei jeder Iteration gibt die API entweder ein Ergebnis zurück (der Ausdruck wird als TRUE ausgewertet) oder gar kein Ergebnis (der Ausdruck wird als FALSE ausgewertet), wodurch der Angreifer den gesamten Textinhalt der Tabelle ableiten kann, ohne diesen Inhalt tatsächlich abzurufen. Infolgedessen ist ein nicht authentifizierter Angreifer aus der Ferne in der Lage, beliebige Systemansichten auszulesen.

Angesichts der betroffenen Komponente (SAP HANA XSA), des Umfangs des Hinweises (acht Fehler in einem) und der Auswirkungen (erhebliche Beeinträchtigung von Vertraulichkeit, Integrität und Verfügbarkeit) sind wir der Ansicht, dass dieser SAP-Sicherheitshinweis mit derselben Priorität behandelt werden sollte wie jeder andere kritische Fehler.

Schließlich wurde ein weiterer Hinweis veröffentlicht, der einen weiteren von Onapsis gemeldeten Fehler behebt. In Hinweis Nr. 2560741 gibt SAP eine Sicherheitslücke im SAML 2. 0-Dienstanbieter des Application Server (AS) Java bekannt. SAML, kurz für „Security Assertion Markup Language“, ist ein standardisierter Weg zur Übermittlung von Authentifizierungs- und Autorisierungsdaten. Im Fall von SAP wird es verwendet, um die Authentifizierung zu optimieren, indem AS Java als SAML 2.0-Dienstanbieter konfiguriert wird. Als Dienstanbieter kann die Benutzerauthentifizierung an einen Identitätsanbieter ausgelagert werden, der dann für Single Sign-On eingesetzt werden kann. Der Onapsis-Forscher Gaston Traberg hat festgestellt, dass der SAML 2.0-Dienstanbieter eine klassische Cross-Site-Scripting-Schwachstelle (XSS) enthält. Der Dienstanbieter gibt empfangene Webanfragen ohne ordnungsgemäße Bereinigung direkt an den Benutzer zurück. Dieser Fehler könnte von einem Angreifer genutzt werden, um eine URL zu erstellen, die beim Aufruf benutzerdefinierten JavaScript-Code ausführt. Indem ein bereits authentifizierter Benutzer dazu verleitet wird, auf die URL zu klicken, könnte beliebiger JavaScript-Code auf dem Rechner des Opfers ausgeführt werden.

Monatliche Hinweise mit hoher Priorität
In diesem Monat wurden insgesamt fünf Hinweise mit hoher Priorität veröffentlicht. Der von Onapsis gemeldete Hinweis, der insgesamt acht Hinweise umfasst, wurde bereits behandelt; nun werden wir uns mit den verbleibenden vier Hinweisen mit hoher Priorität befassen.

1 und 2. In diesem Monat wurden zwei Hinweise mit hoher Priorität gleichzeitig veröffentlicht (Hinweise Nr. 1584573 und Nr. 1977547). Bei diesen Hinweisen handelt es sich um eine Neuauflage eines alten Hinweises, der bereits 2011 veröffentlicht wurde. Er betrifft eine SQL-Injection-Sicherheitslücke in der Komponente BC-UPG. Der letztgenannte Hinweis ergänzt den ersten, indem er Korrekturanweisungen dazu enthält. Sie wurde bereits 2014 veröffentlicht. Die Ergänzung ist nur für neu installierte Systeme relevant oder für Systeme, die seit der Erstellung des ersten Hinweises nie mit dem Software Update Manager 1.0 oder 2.0 geändert wurden. SAP stellte fest, dass die Korrekturanweisungen nicht in allen Situationen zutrafen, was zur Erstellung des ergänzenden Hinweises führte. Wir empfehlen Ihnen, diese Gelegenheit zu nutzen, um die Notwendigkeit des Hinweises für Ihre spezifische Situation zu prüfen.

3. Der SAP-Hinweis Nr. 2525222 fasst ebenfalls mehrere Sicherheitslücken in einer einzigen Veröffentlichung zusammen. Der Hinweis bietet einen Überblick über nicht weniger als 14 Sicherheitslücken, die alle im SAP Internet Graphics Server (IGS) entdeckt wurden. Der IGS ist eine von SAP verwendete Engine zur Generierung visueller Komponenten wie Grafiken oder Diagramme. Der SAP-Hinweis zeigt, dass der IGS eine Vielzahl von Schwachstellen aufweist: unter anderem Denial-of-Service- (DoS), Cross-Site-Scripting- (XSS) und Log-Injection-Angriffe. Dennoch wird nur eine Schwachstelle mit hoher Priorität (CVE-2018-2394) erwähnt. Es handelt sich um einen DoS-Angriff, der es einem nicht authentifizierten Angreifer ermöglicht,„legitime Benutzer am Zugriff auf den SAP IGS, Dienste und/oder Systemdateien zu hindern“. Die übrigen Fehler weisen einen mittleren Schweregrad auf.

4. Der letzte Hinweis mit hoher Priorität in diesem Monat ist#2565622. Er betrifft das SAP NetWeaver System Landscape Directory (SLD). Das SAP SLD ist eine zentrale Speicherkomponente für Informationen über alle installierbaren und installierten Komponenten einer Systemlandschaft. Wie bei vielen anderen Diensten können Benutzer über Client-APIs auf das SLD zugreifen. Diese spezielle Schwachstelle scheint im Java Naming and Directory Interface (JNDI) zu liegen, einer Java-API, auf die Clients zugreifen können, um Daten abzufragen; in diesem Fall über die SAP-Landschaft. Aufgrund des Fehlers werden keine Authentifizierungsprüfungen für Funktionen durchgeführt, die eine Benutzeridentität erfordern sollten. Das bedeutet, dass nicht authentifizierte Benutzer so mit dem SLD interagieren könnten, dass sensible Daten unbeabsichtigt offengelegt werden könnten.

Fazit „
“ Nach einem aus Sicht der SAP-Hinweise ruhigen ersten Monat des Jahres verzeichnen wir nun wieder eine eher übliche Anzahl an monatlichen Hinweisen. Dies ist vor allem darauf zurückzuführen, dass SAP mehrere Sicherheitslücken in weniger Hinweisen zusammengefasst hat. In diesem Monat wurden Gaston Traberg, Nahuel Sánchez, Martín Doyhenard und Pablo Artuso aus unseren Research Labs von SAP auf deren Webseite für ihre Mitarbeit bei der kontinuierlichen Verbesserung der SAP-Sicherheit gewürdigt. Wie immer arbeiten wir daran, die Onapsis Security Platform zu aktualisieren, um diese neu veröffentlichten Schwachstellen zu integrieren. Dies ermöglicht es unseren Kunden, zu überprüfen, ob ihre Systeme auf dem neuesten Stand der SAP-Sicherheitshinweise sind, und stellt sicher, dass diese Systeme mit dem angemessenen Sicherheitsniveau konfiguriert sind, um ihre Audit- und Compliance-Anforderungen zu erfüllen.