SAP-Sicherheitshinweise Februar 2020: Die ruhigen Zeiten sind vorbei – 19 neue SAP-Sicherheitshinweise und Root-Zugriff in Gefahr

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Februar gehören:

• Onapsis leistet einen wesentlichen Beitrag zu den SAP-Patches vom Februar—12 gemeldete Sicherheitslücken wurden von SAP mit 5 Sicherheitshinweisen behoben—2 Hinweise mit hoher Priorität und 3 Hinweise mit mittlerer Priorität
• Probleme mit hoher Priorität im SAP Host Agent und im SAP Mobile Platform behoben—Die Korrekturen beheben eine DOS-Schwachstelle und eine Schwachstelle aufgrund fehlender Autorisierung
• Besondere Aufmerksamkeit bei den anstehenden Chromium-Updates erforderlich—Erhebliche Auswirkungen auf SAP-Anwendungen erwartet

Alle, die gehofft hatten, die SAP-Patch-Tage würden so ruhig verlaufen wie im Januar, wurden nun durch einen ereignisreichen Februar schnell auf den Boden der Tatsachen zurückgeholt. Mit insgesamt 17 neuen und aktualisierten SAP-Sicherheitshinweisen heute und zwei aktualisierten Hinweisen Ende Januar steigt die Zahl der neuen Hinweise. Auch wenn es diesen Monat nur einen HotNews-Hinweis gibt – das bekannte Update zur unterstützten Chromium-Version im SAP Business Client –, sind aufgrund ihrer Kritikalität vier weitere Hinweise mit hoher Priorität zu berücksichtigen. Die Onapsis Research Labs zu zwei der High-Priority-Hinweise und drei der Medium-Priority-Hinweise beigetragen, die insgesamt 12 Schwachstellen beheben und mehr als 30 % der in diesem Monat veröffentlichten neuen SAP-Sicherheitshinweise ausmachen, wobei neu veröffentlichte Hinweise nicht berücksichtigt sind. Dieser bedeutende Beitrag unterstreicht das Engagement von Onapsis für den Schutz von SAP-Kunden.

February Patch Day Marked by Onapsis—9 Root and <SID>adm Privilege Escalation Issues Detected in SAP Landscape Management

Mit fünf SAP-Sicherheitshinweisen, die insgesamt 12 Sicherheitslücken beheben, gingen mehr als 30 % der Sicherheitshinweise im Februar auf die Onapsis Research Labs zurück, wobei erneut veröffentlichte Hinweise nicht berücksichtigt wurden.

SAP Security Notes #2877968 and #2878030, both rated as High Priority with a CVSS of 7.2, fix Root and <SID>adm Privilege Escalation vulnerabilities in SAP Landscape Management. SAP Landscape Management is used to administer large SAP landscapes very efficiently through automation of repetitive, and often time-consuming, administrative tasks. It also provides advanced operations for SAP HANA and SAP S/4HANA. The solution uses the SAP Host Agent that is installed on each SAP System to collect the required system information as well as to execute operations remotely across the landscape. 

The Onapsis Research Labs has identified nine of these operations to be vulnerable. Due to missing sanitization, the vulnerability can allow an attacker to inject the operational commands with malicious content. Depending on the specific operation, this content is executed in the context of user Root or <SID>adm. The impact of the vulnerability on the confidentiality, integrity, and availability of the system is therefore rated with High. Both Notes solve slightly different scenarios. Note #2877968 covers all operations that can directly be infected with vulnerable commands. Note #2878030 handles operations that will first need to place an infected binary on the target host in order to exploit the vulnerability.

Onapsis unterstützte SAP zudem bei der Behebung von drei weiteren Sicherheitslücken, die alle als „mittlere Priorität“ eingestuft wurden. Die SAP-Sicherheitshinweise Nr. 2836445, Nr. 2838835 und Nr. 2695210 beheben Sicherheitslücken, die zur Offenlegung von Informationen führen und in verschiedenen Komponenten auftraten; auch diese wurden von den Onapsis Research Labs entdeckt. Alle wurden mit einem CVSS-Wert von 5,3 bewertet und können ausgenutzt werden, um Informationen über die technische Infrastruktur der betroffenen Komponente zu sammeln. Diese Art von Informationen kann später von einem Angreifer genutzt werden, um den „echten“ Angriff zu starten. 

Der SAP-Sicherheitshinweis Nr. 2836445 beschreibt eine Sicherheitslücke in der Architektur der ausführbaren Datei „saposcol“. Diese Datei dient zur Überwachung der Hardware eines SAP-Systems und nutzt den gemeinsamen Speicher für die Kommunikation zwischen Prozessen. Der gemeinsame Speicher ist nicht ausreichend geschützt, sodass ein Benutzer ohne entsprechende Berechtigungen potenziell darauf zugreifen und Informationen über CPU, RAM, Verzeichnisgrößen und andere Systemattribute abrufen kann. Beachten Sie, dass wir bei unseren Untersuchungen zur Meldung dieser Schwachstelle festgestellt haben, dass diese Schwachstelle bei Kunden mit einer älteren Version des SAP Host Agent in Verbindung mit einer älteren Sicherheitslücke ausgenutzt werden kann, um Root-Rechte zu erlangen. Daher ist es wichtig, sicherzustellen, dass Sie über SAP Host Agent 7.21 PL 26, saposcol v2.38 oder höher verfügen. Ist dies nicht der Fall, sollte die Umsetzung dieser Sicherheitshinweise eine höhere Priorität haben, obwohl sie derzeit als mittlere Priorität eingestuft ist.

Der SAP-Sicherheitshinweis Nr. 2838835 behebt ein Problem mit mehreren Endpunkten in SAP NetWeaver AS Java. Diese Endpunkte geben Informationen über das System preis, wie beispielsweise den Hostnamen, den Serverknoten und den Installationspfad. Schließlichbehebt der SAP-Sicherheitshinweis Nr. 2695210 ein Problem in SAP Business Objects, das es einem Angreifer ermöglicht, eine bestimmte Java Server Page auszunutzen, um das Netzwerk nach verfügbaren Hosts und Diensten zu durchsuchen.

Zwei Hinweise mit hoher Priorität zum SAP Host Agent und zum SAP Mobile Platform

Der SAP-Sicherheitshinweis Nr. 2841053 mit einer CVSS-Bewertung von 7,5 behebt eine Denial-of-Service-Sicherheitslücke (DOS) im SAP Host Agent. Die Sicherheitslücke tritt in Szenarien auf, die auf einer Benutzername-Passwort-Authentifizierung basieren, und wird dadurch verursacht, dass die Authentifizierung des SAP Host Agent auf Funktionen des zugrunde liegenden Betriebssystems zurückgreift. Diese Funktionen verzögern häufig fehlgeschlagene Authentifizierungsanfragen, um die negativen Auswirkungen von Brute-Force-Angriffen auf die Authentifizierung zu begrenzen. Der SAP Host Agent begrenzt die Anzahl paralleler Authentifizierungsanfragen, sodass reguläre Authentifizierungsanfragen aufgrund verzögerter Antworten verlangsamt werden können. Mögliche Lösungsansätze sind:

• Einschränkung der Zugangsports zum Rechenzentrumsnetzwerk
• Beschränkung der Zugangsports auf vertrauenswürdige Netzwerke und Adressen durch Pflege der Control des SAP Host Agent
• Nur zertifikatsbasierte Authentifizierung zulassen (nur für SAP Host Agent Version 7.21 PL45 und höher)

Der andere Hinweis mit hoher Priorität Nr. 2695776 mit dem Titel „Fehlende Autorisierungsprüfung im SAP Mobile Platform SDK, Android“ und einem CVSS-Wert von 7,4 behebt ein Problem, bei dem in der Federation Library gespeicherte Daten standardmäßig nicht geschützt waren. Wenn der Anwendungsentwickler also keine eigene Berechtigung für den Zugriff auf die Bibliotheksdaten explizit definiert hatte, waren diese ungeschützt. SAP hat nun eine neue Federation Library veröffentlicht, die eine Standard-Signaturberechtigung enthält. Um nicht alle Entwickler dazu zu zwingen, die aktualisierte Federation Library in jede Anwendung einzubinden und neu zu kompilieren, überschreibt eine explizit zugewiesene Berechtigung weiterhin die neu eingeführte Standardberechtigung.

Strengere Cookie-Regelungen in einer neuen Version von Google Chrome werden sich auf SAP-Anwendungen auswirken

Angesichts des neuen Updates zur unterstützten Chromium-Version für den SAP Business Client möchten wir die Gelegenheit nutzen, auf einen wichtigen Punkt hinzuweisen: Ab Version 80 von Google Chrome wird die Standardbehandlung von Cookies erheblich geändert. Um einen besseren Schutz vor Cross-Site-Request-Forgery-Angriffen (CSRF) zu bieten, setzt Chrome den Standardwert des SameSite-Cookie-Attributs auf „Lax“, sofern vom Server kein expliziter Wert angegeben wird. Dies hat negative Auswirkungen auf Anwendungen, die mehrere Websites in einem einzigen Browserfenster integrieren, da diese häufig auf domänenübergreifende Cookies angewiesen sind. Wir empfehlen Ihnen dringend, den SAP HotNews-Hinweis Nr. 2887651 zu lesen, in dem die betroffenen SAP-Komponenten, mögliche Lösungen und weitere Details beschrieben werden.

Zusammenfassung und Schlussfolgerungen

Die 14 im Januar veröffentlichten SAP-Hinweise deuteten auf einen sehr ruhigen Jahresauftakt hin. Mit 19 neuen Hinweisen in diesem Monat kehren wir zu einem geschäftigen Monat zurück, in dem mehr Hinweise und auch kritischere dabei sind. Um den Schutz seiner Kunden zu gewährleisten, erhält das SAP-Sicherheitsteam weiterhin wichtige Unterstützung von den Onapsis Research Labs sicherzustellen, dass seine Produkte durch Patches sicher sind. Erneut werden mehrere Mitglieder des Onapsis-Teams (fünf!) von SAP in den Danksagungen an Sicherheitsforscher gewürdigt. Hier ist eine Zusammenfassung der Hinweise dieses Monats nach Typ:
 

Die Onapsis Research Labs bereits Onapsis Research Labs , die Platform zu aktualisieren, Platform diese neu veröffentlichten Sicherheitslücken in das Produkt Platform integrieren, damit unsere Kunden bei ihren Sicherheitsbewertungen auf fehlende Hinweise prüfen können. Schließlich planen wir, unseren Kunden und der breiten Öffentlichkeit in diesem Jahr mehr Daten zu unserer Analyse der SAP-Sicherheitshinweise sowie weitere Inhalte und Erkenntnisse unseres Teams zur Verfügung zu stellen. Vor diesem Hintergrund werden wir nächste Woche ein Webinar veranstalten, um etwas tiefer auf die SAP-Sicherheitshinweise des Monats einzugehen und alle Analysen zu teilen, die unser Team heute durchgeführt hat und im Laufe der Woche noch durchführen wird. Melden Sie sich hier für das Webinar zu den SAP-Sicherheitshinweisen vom Februar 2020 an.