SAP-Sicherheitshinweise Juli 2019: Kritische Sicherheitslücke betrifft Solution Manager

Von:

9. Juli 2019

Zu den Höhepunkten der Analyse der SAP-Sicherheitshinweise vom Juli gehören:

  • Aktuelles SAP-Hinweis im Solution Manager Diagnostic Agent– die einzige „Hot News“, die am Patch Day im Juli veröffentlicht wurde, behebt eine kritische Sicherheitslücke, die es einem Angreifer ermöglichen könnte, das gesamte SAP-System zu kompromittieren.
  • Sicherheitshinweismit hoher Priorität in der ABAP NetWeaver Process Integration– der SAP-Sicherheitshinweis mit der zweithöchsten Priorität, der diesen Monat veröffentlicht wurde, behebt eine schwerwiegende Sicherheitslücke in eCATT, die zu schwerwiegenden Auswirkungen auf das SAP-System führen kann.
  • Von Onapsis Research Labs gemeldete Sicherheitshinweise– Zusätzlich zu dem veröffentlichten „Hot News“-Hinweis hat SAP weitere von Onapsis Research Labs gemeldete Sicherheitslücken behoben, Onapsis Research Labs den Diagnostic Agent, platform Hybris Commerce Onapsis Research Labs .

Aktuelle Meldung: SAP-Hinweis im Solution Manager Diagnostic Agent

Im Rahmen unseres Engagements für die SAP-Sicherheitsforschung stellen wir bereits seit mehreren Monaten Informationen zum Solution Manager (SolMan) bereit. In diesem Monat hat SAP den fünften „Hot News“-Hinweis des Jahres 2019 veröffentlicht, mit dem eine Sicherheitslücke im SolMan Diagnostic Agent (SMDAgent) behoben wurde, der die Kommunikation von Überwachungs- und Diagnoseereignissen zwischen jedem SAP-System und dem Solution Manager verwaltet.

Mithilfe der Grundfunktionalität kann ein SolMan-Administrator über eine GAP_ADMIN-Transaktion Betriebssystembefehle ausführen, um Analysen in einem SAP-System durchzuführen. Nach der Ausführung werden diese Befehle anhand einer Whitelist-Datei im Installationsverzeichnis des SMDAgent überprüft. Diese Sicherheitslücke könnte es einem Angreifer ermöglichen, diese Überprüfung zu umgehen, indem er eine speziell gestaltete Nutzlast sendet. Mit dieser Technik könnte der Angreifer control vollständige control ein SAP-System erlangen, den SMDAgent-Benutzer kompromittieren und so Zugriff auf sensible Informationen (wie Anmeldedaten und kritische Geschäftsinformationen) erhalten, Anwendungskonfigurationen ändern oder sogar SAP-Dienste stoppen. Wie bereits erwähnt, muss der SMDAgent in jedem SAP-System installiert sein, um Diagnoseaufgaben durchzuführen, sodass der Umfang eines Angriffs groß ist, da er die gesamte Landschaft betreffen könnte.

Aufgrund der erheblichen Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit sowie der geringen Komplexität eines Angriffs wurde der von unserem Forscher Yvan Genuer gemeldete Sicherheitshinweis Nr. 2808158 ( CVE-2019-0330) mit einem CVSS-Wert von 9,1 veröffentlicht.

Um sich vor dieser Sicherheitslücke zu schützen, sollten Sie unbedingt den entsprechenden Patch für die von Ihnen verwendete Version von Solution Manager installieren. Nach dem Neustart werden alle SMDAgent-Instanzen neu verbunden und aktualisiert.

Hinweis mit hoher Priorität in der ABAP NetWeaver-Prozessintegration

Das Extended Computer Aided Test Tool (eCATT) ist ein häufig verwendetes Tool für automatisierte Tests in SAP-Geschäftsprozessen. Sein Hauptzweck besteht darin, Funktionstests für Transaktionen, Berichte, Szenarien, Berechtigungsprüfungen usw. zu erstellen und auszuführen. Als einziger SAP-Sicherheitshinweis mit der Priorität „Hoch“ und einem CVSS-Wert von 8,7 (CVE-2019-0328)behebt der Hinweis Nr. 2774489 eine Code-Injektionsschwachstelle in eCATT. Die Ausnutzung dieser Schwachstelle hat kritische Auswirkungen auf die Integrität und Verfügbarkeit des Systems, da bösartige Befehle, die ausgeführt werden könnten, mit hohen Benutzerrechten laufen. Genau wie beim Hot-News-Patching-Prozess könnte dies durch ein Upgrade des betroffenen Support-Pakets oder durch die Umsetzung der in der genannten Note beigefügten Korrekturanweisungen behoben werden.

Sicherheitshinweise, gemeldet von Onapsis Research Labs

SAP Onapsis Research Labs heute drei Sicherheitshinweise mit mittlerer Priorität veröffentlicht, die von den Onapsis Research Labs gemeldet Onapsis Research Labs .

SAP-Sicherheitshinweis zu BusinessObjects. In Sicherheitshinweis Nr. 2764733 wurden mehrere Cross-Site-Scripting-Schwachstellen (XSS) behoben, die die Komponente Performance Management (PM) betrafen. Ein Angreifer könnte eine böswillig gestaltete URL an einen bereits authentifizierten Benutzer senden, um Sitzungsinformationen zu stehlen. Je nachdem, welcher Benutzer betroffen ist, ist der administrative Systemzugriff gefährdet. Dieser Hinweis wurde mit einem CVSS-Score von 6,1 veröffentlicht (CVE-2019-0326).

SAP-Sicherheitshinweis zum Solution Manager. Zusätzlich zu dem veröffentlichten „Hot News “-Sicherheitshinweis behebt der Sicherheitshinweis Nr. 2738791 mit einem CVSS-Wert von 5,3 (CVE-2019-0318) die Offenlegung von SMDAgent-Benutzeranmeldedaten in Systemprotokolldateien. Obwohl diese Dateien verschlüsselt waren, konnte ein Angreifer den Schlüssel leicht in Erfahrung bringen.

SAP-Sicherheitshinweis zu SAP Hybris Commerce. Die dritte Sicherheitslücke, die in Hinweis Nr. 2781873 behoben wurde, ermöglicht es einem böswilligen Benutzer, einen Denial-of-Service-Angriff (DoS) durchzuführen, indem er den Hybris-Dienst über dessen JMX-Schnittstelle stoppt. Durch ein Upgrade auf eine gepatchte Version wird der Fernzugriff auf diese Schnittstelle für neue Implementierungen deaktiviert. Um diese Sicherheitslücke jedoch in bereits eingerichteten SAP-Commerce-Instanzen zu beheben, muss der Benutzer eine zusätzliche Konfiguration vornehmen, die in dem genannten Hinweis beschrieben ist.

Zusammenfassung und Schlussfolgerungen

Im Rahmen des Patch Day im Juli wurden insgesamt 20 SAP-Sicherheitshinweise veröffentlicht. Die folgende Tabelle gibt einen Überblick über die Arten der Sicherheitslücken, darunter: OS-Befehlsinjektion, fehlende Autorisierungsprüfung, Cross-Site-Scripting und Verzeichnisüberquerung.

SAP-Sicherheitshinweise Juli

Es ist besonders wichtig zu erwähnen, dass die kritischsten Sicherheitslücken, die an diesem Patch Day behoben wurden, durch die ordnungsgemäße Aktualisierung der Systemkomponenten gemindert werden können. Unterstützung und Hilfe erhalten Sie, indem Sie mit dem „Missing Notes“-Modul von Onapsiseine Schwachstellen- und Compliance-Prüfung durchführen.

Da unser Team Sicherheitsforschung betreibt und sein Wissen mit der breiten Öffentlichkeit teilt, würdigt SAP die Onapsis Research Labs weiterhin monatlich. Zu den namentlich genannten Forschern gehören Yvan Genuer, Gaston Traberg, Nahuel Sanchez und Juan Pablo Perez-Etchegoyen.

Wie bei Onapsis üblich, werden wir auch weiterhin jeden Patch Tuesday unseren Blogbeitrag mit der Analyse der SAP-Sicherheitshinweise veröffentlichen und daran arbeiten, die Onapsis Security Platform zu aktualisieren, um diese neu veröffentlichten Sicherheitslücken zu berücksichtigen. So können unsere Kunden überprüfen, ob ihre Systeme auf dem neuesten Stand der SAP-Sicherheitshinweise sind, und sicherstellen, dass diese Systeme mit dem erforderlichen Sicherheitsniveau konfiguriert sind, um ihre Audit- und Compliance-Anforderungen zu erfüllen.

Wenn Sie weitere Informationen zu den neuesten SAP-Sicherheitsproblemen erhalten und über unsere kontinuierlichen Bemühungen zum Wissensaustausch mit der Sicherheits-Community auf dem Laufenden bleiben möchten, abonnieren Sie unseren monatlichen „Defender’s Digest Onapsis“-Newsletter.

Stichworte, ,
Über den Autor

Thomas Fritsch

Als führender SAP-Sicherheitsforscher bei Onapsis gilt Thomas Fritsch als anerkannte Autorität in den Bereichen vulnerability management und neue Bedrohungen. Aufgrund seiner langjährigen Erfahrung als SAP-Experte konzentriert er sich auf hochtechnische Bereiche wie die Konfiguration von SAP-Systemen und das Transportmanagement. Thomas’ Analysen der neuesten SAP-Sicherheitspatches und -Schwachstellen sind ein zentraler Bestandteil der Forschungsarbeit, die Unternehmen die fundierten und umsetzbaren Erkenntnisse liefert, die sie zum Schutz ihrer Systeme benötigen. Seine Rolle als angesehener Redner und Autor festigt seinen Ruf als maßgebliche Stimme im Bereich der SAP-Cybersicherheit und trägt dazu bei, die Lücke zwischen komplexer Forschung und praktischen Sicherheitsmaßnahmen in der realen Welt zu schließen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen