SAP-Sicherheitshinweise Januar 2017: Weiterhin im Fokus: Sicherheit bei SAP for Defense

Nun beginnt das Jahr 2017 … und der erste Patch Day ist da. Heute hat SAP seinen ersten Beitrag zu den Sicherheitshinweisen des Jahres veröffentlicht, womit sich die Gesamtzahl der Hinweise seit dem letzten „Security Notes Tuesday“ im Dezember auf 24 beläuft (21 davon wurden heute veröffentlicht). Die Anzahl der Sicherheitskorrekturen pro Monat entspricht der des Vorjahres (mit einem Durchschnitt von 25 SAP-Sicherheitshinweisen pro Monat). Heute hat SAP zum zweiten Mal in Folge SAP Security Notes für SAP ERP Defense Forces und Public Security veröffentlicht. In Zusammenarbeit mit unseren Research Labs arbeitet SAP an mehreren Sicherheitsverbesserungen für diese Lösungen, die von vielen großen Organisationen weltweit genutzt werden.

Die folgende Grafik zeigt, dass die Release Notes dieses Monats im Vergleich zum letzten Monat kritischer sind, obwohl sie im Durchschnitt eine geringere Priorität haben (siehe Kasten):

Vor Dezember 2016 gab es insgesamt nur drei SAP-Sicherheitshinweise zu den Lösungen „SAP Mobile Defense & Security “ sowie „Defense Forces and Public Security “. In den letzten zwei Monaten hat Onapsis SAP dabei unterstützt, mehrere Fehler im Zusammenhang mit fehlenden Berechtigungsprüfungen in diesen Plattformen zu beheben, was zur Veröffentlichung von sechs neuen Hinweisen führte: Die Hälfte davon erschien im letzten Monat des Jahres 2016, und diese neuen Hinweise wurden gerade am heutigen SAP Notes Patch Day veröffentlicht:

• Fehlende Berechtigungsprüfung in SAP ERP Defence Forces and Public Security (2376524). CVSS v3-Basiswert: 5,4 / 10.
• Fehlende Berechtigungsprüfung in SAP ERP Defence Forces and Public Security (2378417). CVSS v3-Basiswert: 5,0 / 10.
• Fehlende Berechtigungsprüfung in SAP ERP Defence Forces and Public Security (2378448). CVSS v3-Basiswert: 4,3 / 10.

Fehlende Berechtigungsprüfung ist eine der häufigsten Schwachstellen in SAP-Plattformen (siehe BIZEC: Häufigste Sicherheitsmängel in SAP-ABAP-Anwendungen). Werden die erforderlichen Berechtigungsprüfungen für einen authentifizierten Benutzer nicht durchgeführt, kann dies zu einer Ausweitung von Berechtigungen führen. Angesichts der Art der Organisationen, die diese Lösungen nutzen (Militär und öffentliche Sicherheitsbehörden), ist es von größter Bedeutung, diese Patches zu installieren und die Software auf dem neuesten Stand zu halten.

SAP-Hinweise mit hoher Priorität

SAP startete das Jahr 2017 mit einer „Hot News“-Meldung. Dies ist die höchste Einstufung für eine Sicherheitslücke. Im Jahr 2016 gab es nur neun „Hot News“-Meldungen (drei davon wurden von unseren Forschungslabors entdeckt und gemeldet). Außerdem wurden diese „Hot News“-Meldungen erst im Laufe des Jahres veröffentlicht, während die erste Meldung dieses Jahres bereits im Januar erschien:

• Mehrere Pufferüberläufe in Sybase Software Asset Management (2407862): SySAM 2.3 und frühere Versionen enthalten die Software „Flexera Flexnet Publisher“, die anfällig für Pufferüberläufe ist (CVE-2015-8277). Dies kann zu Angriffen mit schwerwiegenden Folgen führen, die die Vertraulichkeit, Integrität und Verfügbarkeit beeinträchtigen. Durch die Installation des Patches wird ein Upgrade auf SySAM 2.4 durchgeführt, wodurch die anfällige Software auf die behobene Version aktualisiert wird.
  CVSS v3-Basiswert: 9,8 / 10
• Denial-of-Service (DoS) in SAP Single Sign-On (2389042): Denial-of-Service-Schwachstellen sind stets von Bedeutung, da sie zu schwerwiegenden Verfügbarkeitsproblemen führen können. Dies ist auch hier nicht anders; daher sollten Unternehmen, die SAP Single Sign-On einsetzen, diesen Hinweis installieren, um einen Angriff zu verhindern, der diese Schwachstelle ausnutzt.
  CVSS v3-Basiswert: 7,5 / 10
• Möglicher Verzeichnis-Traversal (1699041): Einige Programme weisen eine Sicherheitslücke auf, über die ein böswilliger Benutzer potenziell beliebige Dateien auf dem Remote-Server schreiben und löschen kann, wodurch Daten beschädigt oder das Systemverhalten verändert werden könnten. Dieser Hinweis enthält manuelle Anweisungen und kann daher nicht automatisch umgesetzt werden. Sie müssen manuelle Schritte durchführen, um den Schutz zu gewährleisten.
  CVSS-Basiswert: nicht veröffentlicht.

In diesem Monat wurden unsere Forscher Sergio Abraham, Julián Rapisardi und ich auf der SAP-Webseite gewürdigt und sind bereits dabei, die Onapsis Security Platform zu aktualisieren Platform diese neu veröffentlichten Sicherheitslücken Platform berücksichtigen. So können Sie überprüfen, ob Ihre Systeme auf dem neuesten Stand der aktuellen SAP-Sicherheitshinweise sind, und sicherstellen, dass diese SAP-Systeme mit dem erforderlichen Sicherheitsniveau konfiguriert sind, um Ihre Audit- und Compliance-Anforderungen zu erfüllen.

Angesichts des ersten DHS CERT-Alerts des Jahres 2016 zur Sicherheit von SAP-Unternehmensanwendungen, der kritischen Sicherheitslücken zu Beginn des Jahres 2017, die auf Militär- und Verteidigungsprodukte abzielten, sowie der ersten „Hot News Note“ des Jahres gehen wir davon aus, dass sich die zunehmende Reife des SAP-Sicherheitsmarktes in diesen monatlichen Updates im Laufe des Jahres fortsetzen wird. Freuen Sie sich auf weitere Berichte und Analysen aus den Onapsis Research Labs.