SAP-Sicherheitshinweise Februar 2017: Die Lautstärke erhöhen

Von:

14. Februar 2017

In den SAP-Sicherheitshinweisen dieses Monats fällt auf, dass die Priorität der meisten Sicherheitshinweise im Vergleich zum Vormonat höher ist. Dies geht aus der folgenden Grafik hervor:

Die Anzahl der SAP-Sicherheitshinweise blieb im Monatsvergleich unverändert, doch die Zahl der Sicherheitshinweise mit „hoher Priorität“ hat sich in diesem Monat mehr als verdoppelt (1 „Hot News“- und 2 „High Priority“-Hinweise im Januar gegenüber 7 „High Priority“-Hinweisen im Februar). Seit dem letzten „Security Notes Tuesday“ im Januar wurden insgesamt 23 SAP-Sicherheitshinweise veröffentlicht (15 davon heute). Was die CVSS-Bewertung betrifft, so zeigt das folgende Boxplot-Diagramm, dass die Hinweise dieses Monats im Vergleich zum letzten Monat kritischer sind. Obwohl nur ein Hinweis die maximale CVSS-Bewertung von 8,5 erreicht, lag die CVSS-Bewertung der meisten Hinweise zwischen 6,1 und 8 (während im letzten Monat die überwiegende Mehrheit der Hinweise zwischen 5,4 und 6,5 lag):

SAP-Sicherheitshinweise mit hoher Priorität

Dieser Monat wies hinsichtlich der SAP-Sicherheitshinweise mit „hoher Priorität“ eine Besonderheit auf. Fast alle diese Hinweise (mit Ausnahme von nur einem) waren ordnungsgemäß mit einer CVSS-Version-3-Bewertung und einem CVSS-Vektor versehen. Dies ist eine gute Grundlage, um das Risiko jedes einzelnen Hinweises im Hinblick auf die Auswirkungen auf SAP-Produkte einzuschätzen.

  • Fehlende Berechtigungsprüfungen in der SAP NetWeaver Data Orchestration Engine (2408892): Dieser Hinweis wurde von unseren Forschungslabors gemeldet und betrifft die Anhäufung mehrerer Berechtigungsobjekte für verschiedene Funktionsgruppen, die sich auf Folgendes auswirken:
    • NWAs 710: SP16 bis SP21
    • NWAs 711: SP12 bis SP16
    • NWAs 730: SP12 bis SP16
    • SUPDOE-Erweiterung 731: SP01 bis SP04

    CVSS v3-Basiswert: 8,5 / 10

  • SAP Web IDE für SAP HANA: Unbefugte Datenmanipulation aus der Ferne und DOS-Angriff (2407694): Dies ist ein Hinweis, den Sie unbedingt beachten sollten, wenn Sie SAP HANA einsetzen, da er Sicherheitslücken behebt, die es einem Angreifer ermöglichen würden, einen neuen Benutzer anzulegen, um neue Pakete zu veröffentlichen, speziell geschädigte Pakete zu erstellen sowie zwei verschiedene Denial-of-Service-Angriffe in Sinopia durchzuführen. CVSS v3-Basiswert: 8,3 / 10
  • Einrichtung von „Trusted RFC“ in GRC Access Control (2413716): In diesem Hinweis wird erläutert, wie ein mögliches Problem bei der control das „Fire Fighter ID“-Konto behoben werden kann. CVSS v3-Basiswert: 8,2 / 10
  • Sicherheitslücke durch Speicherbeschädigung in SAP 3D Visual Enterprise Author, Generator und Viewer (2391018): In SAP 3D Visual Enterprise Author, Generator und Viewer gab es einen Sicherheitsfehler, durch den ein Angreifer den Speicher beschädigen und Zugriff auf den SAP-Server erlangen konnte. CVSS v3-Basiswert: 8,0 / 10
  • Ausnutzung von Berechtigungen über den Transaktionscode des Kunden (2392860): Wenn eine falsche Profilberechtigung vergeben wurde, hatte der dem Profil zugewiesene Benutzer die Möglichkeit, eine eigene Transaktion zu erstellen und diese auszuführen. Dieser Hinweis behebt dieses Verhalten. CVSS v3-Basiswert: 8,0 / 10
  • Denial-of-Service (DOS) im Bereich „Systemmeldungen“ des DOE-Verwaltungsportals (2410061): Das Verwaltungsportal war anfällig für einen Denial-of-Service-Angriff, wenn ein Angreifer einen benutzerdefinierten Wert in den Bereich „Systemmeldungen“ sendete; dies würde legitime Benutzer daran hindern, die Komponente später ordnungsgemäß zu nutzen. CVSS v3-Basiswert: 7,7 / 10
  • Sicherheitslücke durch Code-Injektion in BC-SRV-KPR-DMS (2278931): Die Komponente BC-SRV-KPR-DMS wurde in diesem Hinweis behoben. Bei Ausnutzung dieser Sicherheitslücke könnte ein böswilliger Benutzer beliebigen Code definieren und ausführen und so control das System erlangen. CVSS v3-Basiswert: nicht veröffentlicht.
  • In diesem Monat wurden unsere Forscher Pablo Artuso und Emiliano Fausto auf der SAP-Webseite gewürdigt, da beide in diesem Monat Sicherheitslücken mit hoher Priorität gemeldet haben. Unser Team arbeitet bereits daran, die Onapsis Security Platform aktualisieren, Platform diese neu veröffentlichten Sicherheitslücken zu berücksichtigen. So können Sie überprüfen, ob Ihre SAP-Systeme auf dem neuesten Stand der SAP-Sicherheitshinweise sind, und sicherstellen, dass diese SAP-Systeme mit dem erforderlichen Sicherheitsniveau konfiguriert sind, um Ihre Audit- und Compliance-Anforderungen zu erfüllen.
Stichworte, , , ,
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen