SAP-Sicherheitshinweise Januar 2019: Erster kritischer Hinweis für SAP Cloud und Mobile Patching

Von:

8. Januar 2019

Heute ist der erste SAP Security Patch Day des Jahres 2019, und es wurden18 Sicherheitshinweiseveröffentlicht, darunter einer, der im Monat nach dem letzten Patch Day veröffentlicht wurde. In diesem Monat wurden Sicherheitshinweise für mehrere Plattformen veröffentlicht, die normalerweise nicht Teil des Patch Day sind, darunter SAP Cloud und drei Fehler in mobilen Anwendungen, die von Onapsis-Forschern gemeldet wurden. Für einige dieser Plattformen ist es dererste Sicherheitshinweis überhaupt, und bei anderen haben wir seit einiger Zeit keine behobenen Fehler mehr gesehen.

Zwei SAP-Sicherheitshinweise wurden als„HotNews“ gekennzeichnet, zwei weitere als„High Priority“. Hier ist eine Liste einiger Hinweise und Plattformen, für die im Januar Korrekturen veröffentlicht wurden:

  • EinHotNews-Hinweis(#2696233) zumSAP Cloud ist dererste kritische Hinweis, der jemals für diese platform veröffentlicht wurde(es gibt nur einen weiteren Hinweis für diese platform , der als„mittel“ platform und im April 2018 veröffentlicht wurde, #2614141)
  • Ein weitererHotNews-Eintrag (#2727624), derdas SAP Landscape Managementbetrifft, nachdemüber ein Jahr lang keine Sicherheitslücken auf dieser platform entdeckt wurden(#2531241 und #2520772, beide im November 2017)
  • Ein Hinweismit hoher Priorität(Nr. 2727623) istder erste, der sich direkt aufBW/4HANA auswirkt(es gibt weitere, die sowohl BW als auch BW/4HANA betreffen, wie beispielsweise den Hinweis mit niedriger Priorität Nr. 2638288, der OLAP-Abfragen betrifft, oder andere wie Nr. 2545530, Nr. 2389764 und Nr. 2453642).
  • Zwei Hinweise zu mobilen Plattformen:
    • Der erste Eintrag (#2725538) betrifftden SAP Work Manager und den SAP Inventory Managerund ist dererste Hinweis überhaupt für den SAP Inventory Manager und den SAP Work Manager auf Android-Plattformen(es gibt einen im Jahr 2014 veröffentlichten Sicherheitshinweis, der die iOS-Version des SAP Work Managers betrifft, #2039924)
    • Der zweite Eintrag ist der erste seit einigen Jahren (#2724059), derSAP BusinessObjects Mobile für Androidbetrifft (ein weiterer wurde 2014 veröffentlicht, #2001778)

Im heutigen Blogbeitrag werden gemeldete Sicherheitslücken im Mobilbereich näher erläutert sowie die wichtigsten Hinweise des Monats vorgestellt. Die Nutzung von SAP Mobile ist bislang noch nicht weit verbreitet, stellt jedoch einen wachsenden Markt dar, da jedes Jahr mehr Anwender auf die mobile Nutzung der Produkte umsteigen. Es ist von großer Bedeutung, den mobilen Clients besondere Aufmerksamkeit zu widmen, wenn sie in die Geschäftsabläufe integriert werden.

Drei SAP-Apps für Android, behoben

Zwei Sicherheitshinweisemit mittlerer Prioritätbefassen sich mit derselben Art vonDoS-Sicherheitslückein drei verschiedenen SAP-Mobil-Apps für Android. Beide Hinweise wurden von Yvan Genuer, einem leitenden Sicherheitsforscher bei den Onapsis Research Labs. Der erste Hinweis, Nr. 2725538, betrifft einen Sicherheitsfehler in den beiden mobilen AppsSAP Work ManagerundSAP Inventory Manager. Beide Apps sind Teil desSAP Enterprise Asset Management (SAP EAM). Bevor wir auf einige technische Details eingehen, wollen wir uns zunächst ansehen, worum es bei diesen Anwendungen geht, um ihre möglichen Auswirkungen besser zu verstehen.

  • SAP Work Managerrichtet sich an Mitarbeiter, die mit Aufgaben wie der Wartung, Inspektion oder Installation von Unternehmensanlagen betraut sind – sei es in der Fabrik oder im Außendienst. Die Lösung macht Papierkram überflüssig und ermöglicht den Zugriff sowohl online als auch offline direkt über ein mobiles Gerät.
  • SAP Inventory Managerist eine mobile App zur Bestandsverwaltung. Sie ermöglicht es den Mitarbeitern, Kundenaufträge zu bearbeiten, Materialbewegungen zu verfolgen und Lagerbestände zu verwalten. Aufgaben wie Inventur, Wareneingang und alle anderen Vorgänge im Zusammenhang mit der Materialwirtschaft in einem Lager können von einem dafür zuständigen Team erledigt werden.

Der Fehler betrifft bei beiden Anwendungen eine Funktion innerhalb der Software, die von beiden Apps genutzt wird und einen bestimmten Parameter nicht so überprüft, dassein Angreifer die Anwendung zum Absturz bringen kann. Mit anderen Worten: Die App stürzt plötzlich ab und muss beendet und neu gestartet werden, um sich von dem Angriff zu erholen. Da diese Ausnutzung nur lokal erfolgt, muss ein Angreifer den Benutzer dazu verleiten, eine bösartige App zu installieren, die darauf ausgelegt ist, diesen Fehler auszunutzen. Um einen anhaltendenDenial-of-Service-Angriff (DoS) zu erreichen, kann eine bösartige App den Angriff wiederholt senden undden Dienst damit überfluten, wie in der Notiz erläutert, wodurch die anfällige SAP-Anwendung unbrauchbar wird. 

Beachten Sie, dass ein solcher Angriff, selbst wenn er nur dieVerfügbarkeitin bestimmten Arbeitsumgebungen beeinträchtigt, schwerwiegende Auswirkungen auf bestimmte Geschäftsprozesse in Ihrem Unternehmen haben kann. Stellen Sie sich beispielsweise vor, dass ein oder mehrere Mitarbeiter ihre App nicht nutzen und ihre täglichen Aufgaben nicht aufnehmen können.

Ein zweiter Hinweis, Nr. 2724059, betrifft einen Sicherheitsfehler in„SAP BusinessObjects Mobile for Android“, einer App für den Zugriffplatform dieSAP BusinessObjects Business Intelligence (BI)platform mobilen Mitarbeitern den Zugriffplatform Berichte, Dokumente, Dashboards und Kennzahlen und unterstützt sie so dabei, fundierte Geschäftsentscheidungen zu treffen. Die Sicherheitslücke in dieser App ist wiederum aufdie fehlerhafte Verarbeitung eines Parameters in einer internen Funktion zurückzuführen. Der Onapsis-Forscher fand in diesem Fallzwei Möglichkeiten, diese Schwachstelle auszunutzen. Eine besteht darin, einen Nutzer dazu zu verleiten,eine bösartige App zu installieren, die die App zum Absturz bringt oder dafür sorgt, dass sie ständig abstürzt. Die zweite und für den Angreifer einfachere Möglichkeit besteht darin,den Nutzer dazu zu bringen, einen speziell gestalteten Linkzur platformaufzurufen, der denselben Effekt hat: Die mobile App stürzt einmalig oder ständig ab, was zu einemDoS-Angriffführt.

Sie sollten mobile Anwendungen aktualisieren, um die Sicherheit zu gewährleisten. SAP empfiehlt zudem ein Upgrade auf die neueren SDKs, die in den Sicherheitshinweisen angegeben sind, sofern Sie diese verwenden. Andererseitsgibt es weitere Workarounds oder Abhilfemaßnahmen, um dieser Art von Angriffen entgegenzuwirken: den Einsatz von Sicherheitssoftware, die bösartige Apps stoppt oder vor ihnen warnt, die Beschränkung der App-Installation auf eine Liste zugelassener Apps mithilfe einer Mobile-Device-Management-Software sowie die Konfiguration regelmäßiger Updates der zugelassenen Apps auf dem Mobilgerät. Auch hier gilt:Diese Maßnahmen ersetzen nicht die Notwendigkeit, Anwendungen auf dem neuesten Stand zu halten, um Fehler zu beheben.
 

Aktuelle NachrichtenundwichtigeHinweise

Einer der beidenHotNews-Hinweise ist#2696233, der Cloud SAP Cloud betrifft. Dieser Hinweisbehebt zwei Sicherheitslücken: einefehlende Authentifizierung mit einem CVSS v3-Basiswert von 9,3/10und eineCode-Injection mit einem CVSS v3-Basiswert von 6,0/10. Die fehlende Authentifizierung beeinträchtigt den Zugriff auf Funktionen, für die die Benutzeridentität erforderlich ist. Dieser Fehler ermöglicht das Lesen, Ändern oder Löschen sensibler Informationen sowie den Zugriff auf Verwaltungsfunktionen, für die ansonsten hohe Berechtigungen erforderlich sind. Die Code-Injection-Sicherheitslücke ermöglicht es einem Angreifer, Code einzuschleusen, der von der Anwendung ausgeführt werden kann, bis hin zur Kontrolle des Verhaltens dieses Agenten, was zur Ausführung nicht autorisierter Befehle, zum Zugriff auf oder zur Offenlegung sensibler Informationen sowie zu Denial-of-Service-Angriffen führen kann. 

DerSAP Cloud ist eine Software, die alsVerbindung zwischen Cloud und lokalen Systemen dient. Er läuft als Agent in einem gesicherten Netzwerk und ermöglicht control detaillierte control welche lokalen Ressourcen und/oder Systeme für die cloud zugänglich sein sollen. Außerdem steuert er, welche cloud den cloud nutzen können. Wie man sieht, ist ein Fluss wichtiger Informationen den Schwachstellen ausgesetzt, die mit diesem Patch behoben wurden. SAP stellt detaillierte Anleitungen für das Upgrade auf die korrigierte Version des SAP Cloud 2.11.3 zur Verfügung.

Die andereHotNews-Meldungist Nr. 2727624, ein Fehler, derzur Offenlegung von Informationen führtunddas SAP Landscape Managementbetrifft, mit einem CVSS v3.0-Basiswert von 9,1/10. Es handelt sich um einen sehr schwerwiegenden Fehler, da er es einem Angreifer ermöglicht, Anmeldedaten von Benutzern mit typischerweise hohen Berechtigungen abzugreifen, um diese später für andere böswillige Aktivitäten zu nutzen. Die Auswirkungen dieses Sicherheitsfehlers sind in allen drei Bereichen der Sicherheits-Triade –Vertraulichkeit, Integrität und Verfügbarkeit – hoch. Der Sicherheitshinweis empfiehlt sowohl die Installation des Patches als auch manuelle Korrekturen, um vertrauliche Informationen aus den Protokollen zu entfernen. Es wird dringend empfohlen, die Installation des Patches und die Bereinigung solcher Systeme vorrangig zu behandeln.

Andererseits gibt es zwei Sicherheitshinweisemit hoher Priorität. Der eine ist Nr. 2724788, der mehrere Sicherheitslücken inder Adobe PDF-Druckbibliothekbehebt, die von folgenden SAP-Produkten verwendet wird:SAP CLOUD MANAGER 750undSAPPDFPRINT 750. Da die SAP-Produkte die anfälligen Bibliotheken nutzen, sind sie ebenfalls betroffen. Die Lösung besteht darin, die folgenden detaillierten Patches zu installieren:

  • SAP Cloud Manager 750 Patch 3
  • SAP Cloud Manager für ByD 750, Patch 3
  • SAPPDFPRINT 750 Patch 3
  • SAPPDFPRINT 760 Patch 0

Der zweite mit„Hohe Priorität“ gekennzeichnete Sicherheitshinweis ist#2727623, der einefehlende BerechtigungsprüfunginSAP BW/4HANA behebt. In diesem Fall betrifft die fehlende Autorisierung die Pflege von Stammdaten und führt zu einer Ausweitung von Berechtigungen. Auf diese Weise kann ein Benutzer unter bestimmten Umständen Funktionen missbrauchen, die einer bestimmten Gruppe vorbehalten sind, und zudem vollständigen Zugriff auf eingeschränkte Informationen erhalten. Es wird empfohlen,Support Package 12 für SAP BW/4HANA 1.0zuinstallieren,um eine automatische Behebung zu erhalten, oder die bereitgestellten Korrekturanweisungen zu befolgen.

Zusammenfassung und Schlussfolgerungen

In diesem Monat gibt es mehrere relevante SAP-Sicherheitshinweise, die, wenn sie nicht behoben werden, schwerwiegende Sicherheitsrisiken nach sich ziehen können, darunter einen Hinweismit hoher Priorität, der die meisten SAP-Kunden betrifft. Nachfolgend finden Sie eine Übersicht über die Art der Fehler, die SAP in diesem Monat durch seine Sicherheitshinweise behoben hat:

Diagramm zum Patch-Tag im Januar 2019

SAP würdigte Onapsis durch einen Mitarbeiter unserer Forschungslabore, Yvan Genuer, der„SAP dabei unterstützt hat,die Sicherheit und Integrität der Systeme seiner Kunden zu verbessern“. Wie bei Onapsis üblich, arbeiten wir daran, dieOnapsis Security Platformzu aktualisieren, um diese neu veröffentlichten Schwachstellen zu berücksichtigen. Dadurch können unsere Kunden überprüfen, ob ihre Systeme auf dem neuesten Stand der SAP-Sicherheitshinweise sind, und sicherstellen, dass diese Systeme mit dem angemessenen Sicherheitsniveau konfiguriert sind, um ihre Audit- und Compliance-Anforderungen zu erfüllen. 

FolgenSieunserem ERP-Sicherheitsblogoderfolgen Sie uns auf Twitter, um weitere Informationen zu den neuesten SAP-Sicherheitsproblemen zu erhalten, und freuen Sie sich auf unseren Jahresrückblick-Blogbeitrag!

Stichworte, , ,
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen