SAP-Sicherheitshinweise Februar 2019: Mehrere von Onapsis gemeldete kritische Sicherheitslücken wurden behoben

Von: ,

12. Februar 2019

Es ist der zweite Dienstag des Monats, und – wie zu erwarten – hat SAP die zweite Reihe von Sicherheitshinweisen in diesem Jahr veröffentlicht. Wie jeden Monat haben wir eine Analyse des diesjährigen „Patch Day“ zusammengestellt. Heute hat SAP 16 neue SAP-Sicherheitshinweise veröffentlicht, darunter einen, der als erster „HotNews“-Eintrag SAP HANA XSA (Extended Application Services, Advanced Model) betrifft. Ebenfalls enthalten sind vier weitere Sicherheitslücken, die von den Onapsis Research Labs gemeldet wurden:

  • Eine Notiz mit hoher Priorität , die die SLDREG-Komponente betrifft und in mehreren Produkten vorhanden ist
  • Zwei der vier von Onapsis gemeldeten Sicherheitslücken machen die Hälfte der vier Schwachstellen mit dem höchsten CVSS-Wert aus
  • Einer dieser beiden Beiträge ist eine Aktualisierung eines bereits veröffentlichten Beitrags, der auf einem Bericht von Onapsis basiert
  • Zwei weitere Sicherheitslücken, die beide als „mittlere Priorität“ eingestuft wurden, betreffen platform andere mobile platform wie wir bereits letzten Monat berichteten) sowie SAP BusinessObjects, wo wir SAP im vergangenen Jahr dabei unterstützt haben, vier weitere Fehler (in drei SAP-Sicherheitshinweisen) zu beheben

Wie bereits erwähnt, betrifft einer der beiden als „HotNews“gekennzeichneten SAP-Sicherheitshinweise (#2742027) SAP HANA XSA (der andere ist#2622660, der regelmäßig mit Chromium-Sicherheitsupdates aktualisiert wird und in einem früheren Blogbeitrag erläutert wurde). Es handelt sich um einen klassischen Fall fehlender Berechtigungsprüfung, der es einem Angreifer ermöglichen könnte, nicht nur sensible Informationen zu lesen, zu ändern oder zu löschen, sondern auch Funktionen mit hohen Berechtigungen zu erlangen. Dies betrifft ausgewählte Versionen von XS Advanced sowohl in SAP HANA 1 als auch in SAP HANA 2 und kann durch ein Upgrade der XS Advanced-Komponente behoben werden. Falls XSA kurzfristig nicht aktualisiert werden kann, beschreibt SAP auch eine Abhilfe, um weitere Angriffe zu vermeiden, indem die betroffene Komponente deaktiviert wird, wenn sie nicht verwendet wird (Einzelheiten finden Sie im SAP Launchpad).
 

SAP veröffentlicht einen Hinweis mit hoher Priorität auf Grundlage von Onapsis-Berichten

Der SAP-Sicherheitshinweis Nr. 2070691 wurde erstmals im Jahr 2014 veröffentlicht und diesen Monat dank der Zusammenarbeit unserer Forscher mit SAP erneut herausgegeben. Dieser Hinweis, der mit einem CVSS v3.0-Basiswert von 7,7/10 versehen ist, behebt zwei Funktionen, die es einem Angreifer ermöglichen könnten, an Informationen zu gelangen, die auf Betriebssystemebene auf dem Datenbankserver gespeichert sind.

Die vorherige Version dieses Hinweises betraf ABAP-Systeme, auf denen die Softwarekomponente ST-PI – ein Add-on, das das Service Data Control (SDCCN) enthält – mit Support Package (SP) 0 installiert war. Hätten Sie versucht, sie mit einem SP höher als 0 zu installieren, wäre der Hinweis in der Transaktion SNOTE mit dem Status „Kann nicht implementiert werden “ angezeigt worden:

kann nicht umgesetzt werden

XXE in SLDREG betrifft mehrere Produkte

Der SAP-Sicherheitshinweis Nr. 2729710, der als „hohe Priorität“ eingestuft wurde, behebt eine schwerwiegende Sicherheitslücke, die von den Onapsis Research Labs gemeldet wurde. Der Sicherheitsfehler mit dem Titel„XML External Entity (XXE)-Sicherheitslücke bei der SLD-Registrierung Platform“ wurde im Rahmen unserer Untersuchungen entdeckt. Die Sicherheitslücke betrifft eine Kernel-Komponente, die in jedem SAP-System vorhanden ist.

SLD Registration (SLDREG) ist eine Binärdatei, die dazu dient, Informationen aus dem SAP-System an den konfigurierten Solution Manager (SOLMAN) zu senden. Sie ist im Betriebssystem (OS) gespeichert, und Forscher haben entdeckt, dass sie aus der Ferne ausgeführt werden kann. Die Bedeutung dieses Fehlers liegt darin, dass die SLDREG-Binärdatei auf jeder platform vorhanden ist, wie z. B. ABAP, JAVA usw. Daher gibt es möglicherweise weitere Stellen, an denen sie erfolgreich ausgenutzt werden kann, als die von den Onapsis-Forschern entdeckte.

Obwohl für diesen Endpunkt die Anmeldedaten des Benutzers „lm_service“ erforderlich sind, kann ein Benutzer, der Zugriff darauf hat, diesen Dienst nutzen. Durch Ausnutzung dieser Schwachstelle könnte ein Angreifer eine speziell gestaltete XML-Nutzlast senden.

Diese Sicherheitslücke ist deshalb besonders kritisch, weil ein Angreifer das System kompromittieren und beliebige Dateien des Betriebssystems (z. B. den Inhalt der Datei /etc/passwd) einsehen sowie einen Denial-of-Service-Angriff (DoS) auf das SAP-System ausführen könnte.

Die Sicherheitslücke wurde vom Hersteller behoben und mit einem hohen CVSS v3.0-Basiswert von 8,6/10 veröffentlicht. Die Auswirkungen dieses Sicherheitsfehlers sind in Bezug auf die Sicherheitskriterien „Vertraulichkeit“ und darüber hinaus „Verfügbarkeit“ hoch. Letztere ist betroffen, da die Schwachstelle zwar scheinbar nur das Lesen von Dateien ermöglicht, jedoch zu beachten ist, dass die XML External Entity (XXE) -Schwachstelle im Allgemeinen eine sogenannte XML-Entity-Bombe enthält. Bei diesem Angriff handelt es sich um einen syntaktisch gültigen und korrekten XML-Code, der Einträge zu Referenzen speichern könnte, die auf andere Referenzen verweisen (wodurch eine Schleife entsteht), und bei dem verschachtelte Datenentitäten exponentiell anwachsen und zu einem DoS führen können.

Dieser Fehler, der von den Onapsis-Forschern Nahuel D. Sanchez entdeckt wurde, ist Teil ihres Vortrags, den sie im kommenden März in Deutschland auf der Troopers Conference halten werden. In ihrem Vortrag mit dem Titel„Dark Clouds ahead: Attacking a Cloud Implementation“ werden sie aufzeigen, wie Angreifer durch die Kombination mehrerer Schwachstellen – selbst solcher, die nicht als „HotNews“ gekennzeichnet sind – kritischen Zugriff auf das System erlangen können.

Die Onapsis Research Labs jedoch festgestellt, dass der Fehler auch in Systemen mit höherem SP vorhanden war. Tatsächlich sind Systeme mit ST-PI und einem SP-Wert unter 11 anfällig für diese Informationspreisgabe. Daher hat SAP heute eine aktualisierte Version dieses Hinweises veröffentlicht, die den Patch für alle anfälligen Versionen enthält. Um Ihr System zu patchen, können Sie diesen Hinweis nun im Note Assistant eingeben, auf das Symbol „Neueste Version des SAP-Hinweises herunterladen“ klicken, woraufhin er als „Kann implementiert werden“ angezeigt wird. Anschließend implementieren Sie den Hinweis – und das Problem ist gelöst!

Weitere von Onapsis Research Labs gemeldete Hinweise, die SAP Business One und SAP BusinessObjects Onapsis Research Labs

Wie bereits erwähnt, wurden in diesem Monat zwei Sicherheitslücken von unseren Forschern gemeldet und ordnungsgemäß behoben; beide wurden als „mittlere Priorität“ eingestuft und weisen einen CVSS v3.0-Basiswert von 6,1/10 auf.

Der erste ist ein weiterer Patch, der auf Yvan Genuers Untersuchungen zu SAP-Mobil-Anwendungen basiert, die bereits im letzten Monat zur Veröffentlichung der ersten Patches geführt hatten. Heute behebt der SAP-Sicherheitshinweis Nr. 2723878 eine Sicherheitslücke in der SAP Business One Mobile App für Android, die zur Offenlegung von Informationen führen kann. Der Fehler betrifft ausschließlich Android-Anwendungen und lässt sich durch ein Update auf die neueste Version über Google Play beheben.

Der jüngste Bericht der Onapsis Research Labs einer Entdeckung von Gaston Traberg, der mehrere Sicherheitslücken in SAP BusinessObjects aufgedeckt hat. Bei der hier behandelten SAP-SicherheitsmitteilungNr. 2638175 handelt es sich um eine Cross-Site-Scripting-Sicherheitslücke (XSS) im SAP BusinessObjects Fiori Launchpad. Es handelt sich um einen klassischen XSS-Fehler, bei dem ein Angreifer Code auf dem Client ausführen kann, wenn ein potenzielles Opfer eine speziell gestaltete URL aufruft. Platform Onapsis Security Platform erhalten seit der Einführung der Version 2.0 im letzten Jahr Schutz für BusinessObjects. Dies umfasst die Überprüfung auf fehlende Hinweise wie den in diesem Monat veröffentlichten.

Nachfolgend finden Sie eine Übersicht über die Arten von Sicherheitslücken, die in diesem Monat behoben wurden. Darin enthalten sind nicht nur 16 SAP-Sicherheitshinweise, sondern auch sechs weitere, die Ende Januar, also nach dem „Patch Day“ für die Sicherheitshinweise dieses Monats, veröffentlicht wurden.

SAP-Sicherheitshinweise Februar 2019

Wie Sie der Danksagung von SAP an die Sicherheitsforscher entnehmen können, ist Onapsis das einzige Unternehmen, das mit mehreren Forschern auf dieser Seite vertreten ist. Fünf unserer Teammitglieder wurden diesen Monat für ihre Erkenntnisse und Berichte gewürdigt. Wie immer arbeiten wir daran, die Onapsis Security Platform zu aktualisieren, um diese neu veröffentlichten Schwachstellen zu integrieren, damit unsere Kunden überprüfen können, ob ihre Systeme auf dem neuesten Stand der SAP-Sicherheitshinweise sind. Folgen Sie uns auf Twitter, um weiterhin über ERP-Sicherheitsnachrichten auf dem Laufenden zu bleiben, und lesen Sie auch weiterhin unseren ERP-Sicherheitsblog.

Stichworte, , ,
Über den Autor

Daniel Antonelli

Daniel Antonelli ist ein Experte für Cybersicherheit, der sich auf Sicherheitsforschung und Schwachstellenmanagement spezialisiert hat. Mit seinem Schwerpunkt auf dem Schutz kritischer Unternehmenssysteme wie SAP hat Daniel dazu beigetragen, die Sicherheitslage von Organisationen in verschiedenen Branchen zu verbessern. Seine Fachkenntnisse bei der Erkennung und Abwehr von Cyberbedrohungen, gepaart mit einem tiefgreifenden Verständnis für IT-Umgebungen in Unternehmen, machen ihn zu einer Schlüsselfigur bei der Förderung von Cybersicherheitsmaßnahmen und der Gewährleistung der Widerstandsfähigkeit komplexer Infrastrukturen.

Mehr über diesen Autor
Über den Autor

Matias Sena

Matias E. Sena ist ein erfahrener Cybersicherheitsexperte, dessen Schwerpunkt auf der Absicherung geschäftskritischer Systeme und der Stärkung der Widerstandsfähigkeit von Unternehmen liegt. Als Spezialist für Schwachstellenforschung und Bedrohungsmanagement hat Matias eine entscheidende Rolle beim Schutz von Organisationen vor neuen Cyberrisiken gespielt. Seine Fachkenntnisse im Bereich der Absicherung von SAP- und anderen Unternehmensanwendungen, gepaart mit einer ausgeprägten analytischen Herangehensweise, haben ihn zu einem wichtigen Akteur bei der Stärkung der Cybersicherheitsmaßnahmen in verschiedenen Branchen gemacht.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen