SAP-Sicherheitshinweise Januar 2018: Behebung einer Code-Injection-Schwachstelle und zu ergreifende Maßnahmen

Von:

9. Januar 2018

Heute starten wir in ein neues Jahr der monatlich veröffentlichten SAP-Sicherheitshinweise. Wie schon in den vergangenen Jahrenwerden wir auch 2018 die von SAP jeden zweiten Dienstag im Monat veröffentlichten Hinweise aufmerksam prüfen und die gewonnenen Erkenntnisse in die Onapsis Security Platform OSP) einfließen lassen. In diesem Monat starten wir eher verhalten: Heute hat SAP acht Sicherheitshinweise veröffentlicht, von denen sechs tatsächlich neu sind und die anderen beiden Neuauflagen von Hinweisen aus dem Jahr 2014 darstellen.Die Onapsis Research Labs 50 % der sechs heute veröffentlichtenneuenHinweise Onapsis Research Labs .

Interessant ist, dass SAP im vergangenen Jahrzur offiziellen CVE-Behörde ernannt wurde. Infolgedessen ist SAP verpflichtet, seine Sicherheitshinweise weiterhin so zu veröffentlichen, dass die CVE-Nummern im Titel der Hinweise angegeben sind. Auch im Text der Hinweise werden Links bereitgestellt. Dies erleichtert den Abgleich von SAP-Hinweisen mit anderen Quellen im Internet. 

In den folgenden Abschnitten werden wir die Hälfte der heute veröffentlichten neuen Notizen besprechen, nämlich jene, die vom Onapsis-Research-Team gefunden und gemeldet wurden.

Sicherheitslücke durch Code-Injektion in der CALL_BROWSER-
: Der SAP-Sicherheitshinweis Nr. 2525392ist einer von sechs neuen Hinweisen, die heute veröffentlicht wurden. Er wurde veröffentlicht, nachdem Onapsis Research Labs einige Wochen zuvor darüber Onapsis Research Labs . Dieser neue Hinweis mit der KennungCVE-2018-2363 ist das zweite Update für den SAP-Sicherheitshinweis Nr. 1906212, der ursprünglich im Jahr 2014 veröffentlicht wurde.

Die neue Sicherheitsmeldung ist als Meldung mittlerer Priorität eingestuft und weist einen CVSS v3-Basiswert von 6,5/10 sowie den folgenden Vektor auf: 

  • Angriffsvektor: Netzwerk Umfang: Geändert
  • Komplexität des Angriffs: Gering Auswirkungen auf die Vertraulichkeit: Gering
  • Erforderliche Berechtigungen: Gering Auswirkungen auf die Integrität: Gering
  • Benutzerinteraktion: Erforderlich Auswirkungen auf die Verfügbarkeit: Gering

Obwohl es sich um eine Schwachstelle mittlerer Priorität handelt, könnte dies, sobald ein Angreifer die Möglichkeit hat, lokale Befehle auszuführen, zu einer Post-Exploitation-Phase führen, in der Angriffe zur Rechteausweitung durchgeführt werden können, wodurch sich die Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit von „Niedrig“ auf „Hoch“ erhöhen. In jedem Fall ist es entscheidend, eine Schwachstelle, die die Ausführung von Code beinhaltet, mit hoher Priorität zu behandeln. Da es in diesem Monat keine Meldungen mit höherem CVSS-Wert gibt,empfehlen wir dringend, diesen Fehler vorrangig zu beheben.

Warum gibt es drei verschiedene Sicherheitshinweise für dieselbe Sicherheitslücke? Es ist nicht das erste Mal, dass ein Fehler durch mehrere Sicherheitshinweise behoben wurde, wobei Aktualisierungen vorgenommen werden, um die Erkennung zu verbessern oder frühere Fehler zu korrigieren. Hier ist, was in diesem Fall passiert ist.

In der ersten Veröffentlichung identifizierte SAP eine Komponente im Knowledge Provider, über die ein Angreifer beliebigen Programmcode ausführen konnte. Wie SAP in seiner ursprünglichen Mitteilung erklärte, „kann ein böswilliger Benutzer somit control Verhalten des Systems control oder möglicherweise seine Berechtigungen erweitern, indem er bösartigen Code ohne eigene legitime Anmeldedaten ausführt.“ In dieser ursprünglichen Mitteilung entfernte SAP mehrere Funktionen, die ausgenutzt werden konnten.

Im Februar 2017 veröffentlichte SAP den Sicherheitshinweis Nr. 2278931, in dem eine Parameterbereinigung hinzugefügt wurde, da der Angriff mit dem ursprünglichen Patch weiterhin möglich war. Da die Eingabe bereinigt wurde, ging man davon aus, dass ein Angreifer mit diesem neuen Patch keinen Code-Injection-Angriff mehr durchführen könnte.

Dennoch stellte der Onapsis-Forscher Matias Sena fest, dass die implementierte Sanitisierung nach wie vor anfällig war, da ein Angreifer den Fehler durch ein bestimmtes Angriffsszenario ausnutzen konnte, bei dem er control bessere control die Dateinamen hat, die ausgeführt werden können.

Nun hat SAP heute endlich einen neuen Hinweis veröffentlicht, der die zweite Aktualisierung des ursprünglichen Hinweises darstellt und die Art und Weise, wie Benutzereingaben bereinigt werden, grundlegend ändert, um nicht nur das ursprüngliche Szenario, sondern auch den von unserem Research Labs-Team entdeckten Angriffsvektor zu vermeiden.

Zusammenfassend lässt sich sagen, dass alle Hinweise dieses Monats auf früheren Hinweisen aufbauen und kumulativ umgesetzt werden sollten, sei es über einzelne Anwendungen oder über SP-Installationen. 

Was passiert, wenn Sie nicht alle Patches installieren, die älteren jedoch bereits installiert haben? Wenn Sie nur den ursprünglichen Patch installieren, ist Ihr Risiko höher, da der zweite Patch eine Bereinigungsfunktion enthält. Wenn Sie die beiden vorherigen Patches installiert haben, aber den neuen noch installieren müssen, sind Sie vor allen Angriffsvektoren bis auf einen geschützt. Auch wenn dies das Risiko verringert und erwähnenswert ist,denken Sie daran, dassein Angreifer nur eine einzige Schwachstelle benötigt, um erfolgreich zu sein. Wir empfehlen daher dringend, die Implementierung nicht zu verzögern – was übrigens einfacher ist, wenn Sie den vorherigen Patch bereits installiert haben (da dies eine Voraussetzung für die Installation der neuen Pakete ist).

Heute hat SAP nicht nur den neuen SAP-Sicherheitshinweis Nr. 2525392 veröffentlicht, sondern auch die beiden vorherigen erneut veröffentlicht und beide mit dem Link zum neuen Hinweis sowie dem neuen CVSS-Wert aktualisiert.

Weitere Hinweise, gemeldet von Onapsis Research Labs
Inunserem Blogbeitrag vom letzten Monathaben wir über eine von den Onapsis-Forschern Andres Blanco und Nahuel Sanchez entdeckte Sicherheitslücke berichtet, durch die ein Angreifer eine Schwachstelle bei der URL-Weiterleitung im SAP-Startdienst ausnutzen konnte. In diesem Monat hat SAP einige weitere Hinweise veröffentlicht, die von den genannten Forschern zu diesem Dienst gemeldet wurden.

Fehlende Authentifizierungsprüfung im Startdienst
“ Der SAP-Startdienst bietet Funktionen zum Starten, Stoppen und Überwachen von SAP-Systemen, -Instanzen und -Prozessen. Der Dienst läuft unter dem Namen„sapstartsrv“. DieSAP-Online-Dokumentationenthält weitere Details. Hier sehen wir eine Reihe von logischen Diagrammen, die veranschaulichen, wie verschiedene SAP-Komponenten um den Dienstsapstartsrv herum angeordnet sind. Der Dienst selbst veröffentlicht einen Webdienst, was einfach bedeutet, dass der Dienst sich für die Interaktion über das Web öffnet. Die Kommunikation mit dem Webdienst erfolgt durch das Senden von SOAP-Anfragen (Simple Object Access Protocol). Das SOAP-Protokoll ist im Grunde eine Methode, Nachrichten so zu formulieren, dass der Webdienst sie versteht.

Die Bereitstellung eines Webdienstes über das Netzwerk oder das Internet bietet einem Angreifer einen möglichen Angriffspunkt, wenn die entsprechenden Sicherheitsmaßnahmen fehlen. Im Fall des vom Onapsis Research-Team gemeldeten SAP-Hinweises Nr. 2520995 konnten Angreifer ihre eigenen, speziell gestalteten SOAP-Nachrichten zusammenstellen und an den SAP-Startdienst senden. Aufgrund einer fehlenden Authentifizierungsprüfung auf der SAP-Serverseite würde dies dem nicht authentifizierten Angreifer unbeabsichtigt ermöglichen, unbegrenzten Dateisystemspeicher zu beanspruchen. Dies könnte zusätzlich zur Erschöpfung der CPU- und Speicherressourcen des Servers führen.

Offenlegung von Informationen zum Startup-Service in SAP HANA
Ein Hinweis mit dem oben genannten Titel und der Nummer#2575750wurde heute von SAP veröffentlicht und geht auf zusätzliche Untersuchungen von Onapsis zum SAP-Startup-Service zurück. Der Hinweis betrifft Systeme, auf denen die SAP-HANA-Datenbank läuft.

Diese Sicherheitslücke ermöglicht es einem Angreifer, erneut eine SOAP-Anfrage an den Webservice zu senden, woraufhin der SAP-Server Informationen über das System zurückgibt. Die in der Antwort offengelegten Informationen könnten dem Angreifer bei der Planung eines nächsten Schrittes helfen und werden daher aus Sicht der Informationssicherheit als Risiko angesehen.

Die Lösung zur Behebung der Sicherheitslücke wird nicht in Form eines Softwarepakets oder Patches angeboten. Stattdessenwerden in dem Hinweis mehrere nützliche Ressourcen zur Erhöhung der Sicherheit vonsapstartsrvgenannt. Der erste Verweis führt Sie zum Hinweis Nr. 1439348 mit dem Titel„Erweiterte Sicherheitseinstellungen für sapstartsrv“. In diesem Hinweis wird zwischen sogenanntengeschütztenundungeschütztenWeb-Service-Methoden unterschieden. 

Dort heißt es:„Standardmäßig sind alle Methoden geschützt, die bei ihrem Aufruf den Status der Instanz oder des Systems verändern (z. B. start/stop/restart).“Etwas weiter heißt es:„Viele ungeschützte Methoden bieten die Möglichkeit, Informationen über die Systemkonfiguration oder den Status abzufragen.“Der Hinweis enthält anschließend Anweisungen,wie das System abgesichert werden kann, um den Zugriff auf diese ungeschützten Webdienst-Methoden einzuschränken. 

Weitere Anweisungen zur Erhöhung der Sicherheit des SAP-Startdienstes finden Sie in dem Hinweis. Wir empfehlen Ihnen dringend, diesen sorgfältig durchzulesen und zu prüfen, ob es in Ihrem Fall möglich ist, den Zugriff einzuschränken, ohne den Betrieb zu unterbrechen.

Fazit
Ein neues Jahr hat begonnen, undwir werden weiterhinin diesem Blogbeitrag in Form einesmonatlichen Berichts über die SAP-Sicherheitshinweise berichten. Falls Sie es noch nicht gesehen haben: Vor einigen Tagen haben wir eineZusammenfassung der SAP-Sicherheitshinweise für 2017veröffentlicht. In diesem Monat wurden Nahuel Sanchez, Andres Blanco und Matias Sena aus unseren Forschungslaborsvon SAP auf deren Webseite für ihre Mitarbeit bei der kontinuierlichen Verbesserung der SAP-Sicherheit gewürdigtWir arbeiten außerdem daran, die Onapsis Security Platform zu aktualisieren, Platform diese neu veröffentlichten Schwachstellen zu integrieren. Dadurch können unsere Kunden überprüfen, ob ihre Systeme auf dem neuesten Stand der SAP-Sicherheitshinweise sind, und sicherstellen, dass diese Systeme mit dem erforderlichen Sicherheitsniveau konfiguriert sind, um ihre Audit- und Compliance-Anforderungen zu erfüllen.

Stichwörter, ,
Über den Autor

Waldo Spek

Waldo Spek ist ein versierter Experte für Cybersicherheit mit umfassender Erfahrung im Schutz von Unternehmenssystemen und im Management von IT-Sicherheitsrisiken. Als Spezialist für SAP-Sicherheit und Compliance hat Waldo eine entscheidende Rolle dabei gespielt, Unternehmen beim Schutz ihrer wichtigsten Geschäftsanwendungen zu unterstützen. Seine Fachkenntnisse im Bereich Schwachstellenmanagement, kombiniert mit seinem strategischen Ansatz zur Cyberabwehr, stellen sicher, dass Unternehmen gut gerüstet sind, um mit sich ständig weiterentwickelnden Bedrohungen umzugehen und gleichzeitig die Betriebsintegrität aufrechtzuerhalten.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen