SAP-Sicherheitshinweise Januar 2020: ICM-Dienste durch Denial-of-Service-Angriffe gefährdet

Von:

14. Januar 2020

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Januar gehören:

  • Das neue „SAP-Sicherheitsjahr“ beginnt so, wie das alte geendet hat – sehr „ruhig“– Nur 12 neue SAP-Sicherheitshinweise, davon 1 mit hoher Priorität, 10 mit mittlerer Priorität und 1 mit niedriger Priorität
  • Onapsis meldet: Sicherheitslücke behoben– Denial-of-Service-Schwachstelle (DOS) in SAP ICM beseitigt
  • „Fehlende Autorisierungsprüfung“ ist der Spitzenreiter im Januar– 58 % (!) der veröffentlichten Meldungen sind auf fehlende Autorisierungsprüfungen zurückzuführen

Das Jahr 2020 hat so begonnen, wie das Jahr 2019 endeteim Januar wurde nur einerelativ geringe Anzahl neuer SAP-Sicherheitshinweise veröffentlicht, von denen lediglich einer als „hohe Priorität“ eingestuft wurde. Auch dieses Mal Onapsis Research Labs die Onapsis Research Labs wieder dazu beitragen, SAP-Systeme sicherer zu machen, indem sie eine Denial-of-Service-Sicherheitslücke meldeten, die inzwischen von SAP behoben wurde. 

Sicherheitslücke im SAP NetWeaver Internet Communication Manager (ICM), die zu einem Denial-of-Service-Angriff führen kann, wurde behoben

Im September 2019 Onapsis Research Labs die Onapsis Research Labs eine DOS-Sicherheitslücke, die alle Komponenten betrifft, die über den Internet Communication Manager (ICM) mit dem SAP-System kommunizieren (z. B. alle SAP-Fiori-Anwendungen). Ein Angreifer kann ein speziell gestaltetes Paket an den IIOP- oder P4-Dienst senden, um einen Pufferüberlauf zu verursachen und so den ICM-Prozess zum Absturz zu bringen.

Die Auswirkungen auf die Verfügbarkeit aller webbasierten SAP-Anwendungen werden daher als hohes Risiko eingestuft. Der Grund dafür, dass diese Schwachstelle „nur“ mit einem CVSS-Wert von 5,9 bewertet wurde, liegt darin, dass für einen Exploit der Parameter rdisp/TRACE auf einen Wert größer als 1 gesetzt sein muss. Dieser Wert ist nicht Teil der Standardkonfiguration und wird normalerweise nur gesetzt, wenn die Ursache eines Problems zurückverfolgt werden soll. Aus diesem Grund haben wir die vom Hersteller angegebene Angriffskomplexität (AC) im CVSS-Vektor als „Hoch“ eingestuft. Wenn Sie jedoch die Nachverfolgung in der anfälligen Konfiguration aktiviert haben, ist die Angriffskomplexität nicht hoch, was den CVSS-Wert auf 7,5 erhöhen würde. Daher ist der CVSS-Wert zwar ein guter Anhaltspunkt, muss jedoch von jedem Unternehmen individuell analysiert werden und darf nicht mit dem Risikowert verwechselt werden. 

An diesem Security Patch Day hat SAP die Sicherheitslücke behoben und stellt einen Kernel-Patch zur Verfügung, sodass alle Kunden diese nun aus ihren Systemen entfernen können.

Mehrere Sicherheitsprobleme in „SAP Enterprise Asset Management, Add-On for MRO 4.0“ von HCL für SAP S/4HANA 1809

SAP hat zwischen heute und dem letzten Security Patch Day einen Hinweis mit hoher Priorität (#2871877) veröffentlicht, der mehrere Korrekturen in verschiedenen Bereichen des SAP-EAM-Add-ons enthält. In verschiedenen Komponenten des Add-ons werden unterschiedliche Arten von Schwachstellen behandelt, z. B. Schwachstellen durch fehlende Berechtigungsprüfungen in mehreren Workbenches von MRO (CVSS-Bewertung 8,3) sowie Directory-Traversal-Schwachstellen, die es Angreifern ermöglichen, beliebige Dateien auf dem Remote-Server zu lesen, zu überschreiben, zu löschen oder zu beschädigen (CVSS-Bewertung 7,2). Bitte beachten Sie: Die Korrekturen werden als SAP-Transportdatei bereitgestellt!

Der Januar-Patch-Day wurde erneut von Sicherheitslücken aufgrund fehlender Autorisierungsprüfungen dominiert 

In diesem Monat wurden 7 von 12 Security Notes aufgrund fehlender Berechtigungsprüfungen ausgelöst (2 davon wurden durch die Einführung neuer, zuschaltbarer Berechtigungsprüfungen behoben). 3 der 7 Security Notes beheben das Fehlen expliziter anwendungsspezifischer Berechtigungsprüfungen in RFC-fähigen Funktionsbausteinen. Diesmal sind SAP Leasing (SAP-Sicherheitshinweise Nr. 2495462 und Nr. 2865348) sowie eine Softwarekomponente eines Drittanbieters im SAP Solution Manager (Nr. 2845401) betroffen. Fehlende explizite Berechtigungsprüfungen in RFC-fähigen Funktionsbausteinen gehören nach wie vor zu den am häufigsten festgestellten Schwachstellen, insbesondere in kundeneigenem Code. Sich ausschließlich auf implizite Prüfungen des Berechtigungsobjekts S_RFC zu verlassen, ist sehr gefährlich, da die Berechtigungen für dieses Objekt sehr oft zu großzügig definiert sind. Sie ermöglichen den Zugriff entweder auf alle RFC-fähigen Funktionsbausteine oder auf die Funktionsbausteine einer kompletten Funktionsgruppe. Letzteres liegt häufig daran, dass das Objekt S_RFC in früheren SAP-NetWeaver-Versionen keine Möglichkeit bot, einzelne Funktionsbausteine zuzuweisen, und Kunden es versäumt haben, nachträglich ein feiner abgestuftes Berechtigungskonzept einzuführen.

Ein weiterer interessanter Hinweis ist der SAP-Sicherheitshinweis Nr. 2863397 mit dem Titel „Fehlende Berechtigungsprüfung im Automated Note Search Tool (SAP_BASIS)“. SAP hat im Automated Note Search Tool (ANST) wieder eine Berechtigungsprüfung eingeführt, die einige Kunden vor Jahren aufgrund eines Problems entfernt haben könnten, falls ein Benutzer nicht über die erforderlichen Berechtigungen verfügt (SAP-Hinweis Nr. 2253694, veröffentlicht im Jahr 2015!). Dies ist eine wichtige Lektion für Kunden: Es ist niemals eine gute Idee, ein Problem bei der Ausnahmebehandlung nach einer fehlgeschlagenen Berechtigungsprüfung zu lösen, indem man die Berechtigungsprüfung einfach entfernt oder deaktiviert. Sicherheit steht manchmal im Widerspruch zur Benutzerfreundlichkeit, aber es ist immer empfehlenswert, Zeit in das Hinzufügen der erforderlichen Berechtigungen zu investieren, anstatt sie zu löschen.

Zusammenfassung und Schlussfolgerungen

Das neue Jahr beginnt sehr ruhig und bietet den Kunden somit die Gelegenheit, endlich zu überprüfen, ob sie die Verbindung zum neuen SAP-Backbone korrekt eingerichtet haben und ob die Transaktion SNOTE nun für das Herunterladen digital signierter SAP-Hinweise bereit ist. Die SAP-Sicherheitshinweise dieses Monats spiegeln einmal mehr die typischen Entwicklungsfehler wider und sollten ein guter Ansporn sein, auch den kundeneigenen Code zu überprüfen.
 

SAP-Sicherheitshinweise Januar 2020

Die Onapsis Research Labs bereits an der Aktualisierung der Onapsis Platform zu aktualisieren, um diese neu veröffentlichten Schwachstellen in das Produkt zu integrieren, damit unsere Kunden fehlende Hinweise bei ihren Sicherheitsbewertungen überprüfen können. Wir arbeiten außerdem daran, Ihnen – wie schon seit einigen Jahren – eine Zusammenfassung der SAP-Sicherheitshinweise aus dem Jahr 2019 zur Verfügung zu stellen. Lassen Sie uns das neue Jahr mit Sicherheit als Priorität beginnen und sicherstellen, dass Sie Ihre Systeme mit den Januar-Patches aktualisieren

Stichwörter, , ,
Über den Autor

Thomas Fritsch

Als führender SAP-Sicherheitsforscher bei Onapsis gilt Thomas Fritsch als anerkannte Autorität in den Bereichen vulnerability management und neue Bedrohungen. Aufgrund seiner langjährigen Erfahrung als SAP-Experte konzentriert er sich auf hochtechnische Bereiche wie die Konfiguration von SAP-Systemen und das Transportmanagement. Thomas’ Analysen der neuesten SAP-Sicherheitspatches und -Schwachstellen sind ein zentraler Bestandteil der Forschungsarbeit, die Unternehmen die fundierten und umsetzbaren Erkenntnisse liefert, die sie zum Schutz ihrer Systeme benötigen. Seine Rolle als angesehener Redner und Autor festigt seinen Ruf als maßgebliche Stimme im Bereich der SAP-Cybersicherheit und trägt dazu bei, die Lücke zwischen komplexer Forschung und praktischen Sicherheitsmaßnahmen in der realen Welt zu schließen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen