SAP-Sicherheitshinweise Juli 2017: Behobene Denial-of-Service-Sicherheitslücke, die alle SAP-Plattformen betrifft

Von:

11. Juli 2017

Heute ist der zweite Dienstag im Juli, und wie unsere Leser bereits wissen, hat SAP heute seine monatlichen Sicherheitshinweise veröffentlicht. Hier ist unser monatlicher Bericht darüber, wie Sie Ihre ERP-Sicherheit verbessern und Ihre wichtigsten Daten schützen können. Heute hat SAP 16 neue Sicherheitshinweise veröffentlicht, womit sich die Gesamtzahl auf 23 beläuft, wenn man die nach dem zweiten Dienstag des letzten Monats veröffentlichten Hinweise mitzählt. Zum dritten Mal in Folge gibt es keine Hinweise, die als „Hot News“ gekennzeichnet sind. Einige sind jedoch als „High Priority“ gekennzeichnet und sollten so schnell wie möglich gepatcht werden, zumaleiner davon die Verfügbarkeit von SAP direkt beeinträchtigt.

Notizen vom 11. Juli

Die obige Grafik zeigt die Verteilung der in diesem Monat veröffentlichten Sicherheitslücken.

Böswilliges Herunterfahren des SAP-Host-Agenten ohne Authentifizierung

Der SAP Host Agent ist ein Agent, der verschiedene Verwaltungsaufgaben ausführt, darunter die Überwachung von Betriebssystemen und Datenbanken, die Erkennung von SAP-Instanzen, Bestandsaufnahme und Bereitstellung sowie zahlreiche weitere Aufgaben. Diese behobene Sicherheitslückekönnte es einem Angreifer ermöglichen, den SAP Host Agent ohne Authentifizierung aus der Ferne neu zu starten.Der SAP-Sicherheitshinweis Nr. 2442993ist einer der beiden Fehler mit dem höchsten Risiko in diesem Monat, der mit einem CVSS v3-Basiswert von 7,5 bewertet wurde und direkte sowie erhebliche Auswirkungen auf die Verfügbarkeit hat.

Die von Andres Blanco und Nahuel Sanchez von Onapsis Research Labs entdeckte Sicherheitslücke ermöglicht es einem Angreifer, den SAP Host Agent ohne Authentifizierung durch eine speziell gestaltete SOAP-Anfrage neu zu starten. Infolgedessen wären die Verwaltungsfunktionen nicht mehr verfügbar. Wenn andere geplante Jobs diese Webdienste für reguläre Prozesse benötigen, schlagen diese Jobs in der Folge fehl. Je nach Ihrer Unternehmensarchitektur könnte dies zu schwerwiegenden Verfügbarkeits- oder Leistungsproblemen auf dem System führen.

Betroffen sind alle Versionen des SAP Host Agent bis einschließlich 7.21 PL24. Das bedeutet, dass alle NetWeaver-basierten Anwendungen sowie sowohl HANA 1 als auch HANA 2 betroffen sind. Dies erhöht nicht nur die Wahrscheinlichkeit eines Angriffs, sondern auch die Notwendigkeit, so schnell wie möglich Patches zu installieren.

Nachdem Onapsis die Details der Sicherheitslücke eng mit SAP abgestimmt hat, ist das Problem nun in der Version 7.21 PL25 des SAP Host Agent behoben. Um das Problem in SAP HANA zu beheben, können Anwender direkt auf die folgenden Revisionen (oder spätere Versionen) aktualisieren, in denen der SAP Host Agent bereits in seiner gepatchten Version enthalten ist:

  • Revision 122.10 (für SAP HANA 1.00 SPS12)
  • Revision 2.02 (für SAP HANA 2.0 SPS00)
  • Revision 12 (für SAP HANA 2.0 SPS01)

Für Nicht-HANA-Systeme beschreibt der SAP-Sicherheitshinweis Nr. 1031096die Vorgehensweise zum Upgrade des SAP Host Agent auf die neueste Version. Das Upgrade umfasst im Wesentlichen das Herunterladen der Software vom Service Marketplace und die ordnungsgemäße Ausführung mit dem Parameter -upgrade.

Da die Sicherheitslücke über den Webservice des SAP Host Agent ausgelöst werden kann, beschreibendie SAP-Sicherheitshinweise Nr. 1439348und Nr. 927637schließlich manuelle Schritte zum Schutz weiterer Webservice-Methoden durch eine ordnungsgemäße Authentifizierung. Um die Änderungen zu aktivieren, muss „sapstartsrv“ neu gestartet werden. Wie in denselben Hinweisen beschrieben, ist die Beschränkung des Netzwerkzugriffs auf die für den Betrieb erforderlichen Ports auf ein Minimum eine weitere Abhilfemaßnahme, um das Risiko einer Ausnutzung zu minimieren.

Details zu Notizen mit hoher Priorität

Neben dem oben genannten Hinweis mit hoher Priorität gibt es drei weitere Hinweise, die aufgrund ihrer erheblichen Auswirkungen Beachtung verdienen. Wir werden sie in der Reihenfolge abnehmender Schweregrad, gemessen am CVSS-Score, behandeln. Zwei Hinweise, darunter derjenige mit dem höchsten Schweregrad, betreffen fehlende Autorisierungsprüfungen. Der dritte betrifft eine kosmetische Aktualisierung der SAP-Hinweis-Webseite, sollte aber dennoch in diesem Monat berücksichtigt werden.

  • Fehlende Authentifizierungsprüfungen im SAP Point of Sale (POS) Retail Xpress Server (#2476601):Da keine Authentifizierungsprüfung stattfindet, ist Ihr SAP Xpress Server der Gefahr ausgesetzt, dass ein Angreifer über das Netzwerk – beispielsweise das Internet – Zugriff darauf erlangt. Dieser Hinweis betrifft im Kern einen komplexen Angriff. Ein versierter Angreifer kann jedoch unbemerkt und eigenständig vorgehen. Dadurch sind Vertraulichkeit, Verfügbarkeit und Integrität Ihrer Daten einem höchsten Risiko ausgesetzt. Die Behebung des Problems erfolgt manuell, auch wenn die Webseite etwas anderes vermuten lässt.
    CVSS v3-Basiswert: 8,1 / 10
  • Verbesserte Sicherheit für ausgehende HTTPS-Verbindungen in SAP NetWeaver (#2416119):
    Dieser Hinweis wurde ursprünglich im März veröffentlicht und seitdem mehrfach kosmetisch überarbeitet. Wir haben diesen Hinweis in unseremBlogbeitragvom letzten Monat behandelt, und auch in diesem Monat sind die Aktualisierungen des Hinweises wieder rein kosmetischer Natur. Aufgrund des hohen Schweregrads dieses Hinweises empfehlen wir, diese Aktualisierung als Erinnerung zu nutzen, um den Hinweis so schnell wie möglich zu patchen, falls dies noch nicht geschehen ist. Nach der Installation des Patches sind manuelle Schritte erforderlich; beachten Sie daher mögliche Usability-Probleme, falls die Zertifikate vor der Implementierung nicht ordnungsgemäß konfiguriert sind.
    CVSS v3-Basiswert: 7,4 / 10
  • Fehlende Autorisierungsprüfung in BC-SRV-ALV (#1854252):Auch dieser Hinweis betrifft ein Update, allerdings handelt es sich nicht wie beim zuvor besprochenen Hinweis um eine kosmetische Änderung. Die Behebung dieses Hinweises erfordert neben den automatischen Schritten einen manuellen Vorbereitungsschritt. Das Note-Update für diesen Monat hat eine weitere Release-Version einer Softwarekomponente zur Liste der Releases hinzugefügt, die den Schritt vor der Implementierung erfordern. Obwohl diese Schwachstelle den niedrigsten CVSS-Wert in der Liste aufweist, ist ihre Ausnutzung einfacher als bei den anderen. Ein Patch wird daher weiterhin empfohlen. Vergessen Sie nicht zu prüfen, ob die aktualisierte Release-Version für Sie relevant ist.
    CVSS v3 Basiswert: 6,0 / 10

Ein weiterer von Onapsis Research Labs gemeldeter Fehler Onapsis Research Labs diesen Monat im SAP-Hinweis Nr. 2459319veröffentlicht (Schwache Verschlüsselung in der SAP NetWeaver Data Orchestration Engine). Der Onapsis-Forscher Pablo Artuso entdeckte diese Schwachstelle im Rahmen unserer SAP-For-Defense-Analyse Ende 2016. Dieser Hinweis ist einer von insgesamt 14 SAP-Hinweisen, die SAP als Reaktion auf über 40 Schwachstellen veröffentlicht hat, die von Onapsis Research Labs Rahmen von SAP For Defense entdeckt wurden. UnserBlogbeitragvom Mai dieses Jahres bietet einen Überblick über die durch SAP For Defense behobenen Fehler.

Schließlich erfordern in diesem Monat nur 43 % der Patches keine manuellen Schritte außer der Installation. Die Installation dieser Patches ist einfacher als bei den anderen, und ihre Installation wirkt sich direkt auf die Informationssicherheit aus. Dieser Prozentsatz liegt unter dem Durchschnitt (der normalerweise zwischen 60 % und 75 % liegt), was bedeutet, dass die Nutzer in diesem Monat mehr manuelle Schritte durchführen sollten, um eine bessere Patch-Abdeckung in ihren Umgebungen zu erreichen.

Wie immer werden unsere Forscher, die SAP dabei unterstützen, die Sicherheit zu verbessern, diesen Monat auf derSAP-Webseitegebührend gewürdigt. Onapsis Research Labs bereits daran, unsere Onapsis Security Platform zu aktualisieren, Platform diese neu veröffentlichten Sicherheitslücken in unser Produkt Platform integrieren. Bleiben Sie auf dem Laufenden, um weitere Informationen zur SAP-Sicherheit zu erhalten, und zögern Sie nicht, sich an uns zu wenden, falls Sie weitere Fragen zum Schutz vor den Angriffen dieses Monats haben.

Stichwörter, , ,
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen