SAP Security Patch Day Juli 2020: Kritisches Update für RECON-Sicherheitslücke erforderlich

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Juli gehören:

• Zusammenfassung für Juli—20 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter zwei HotNews-Hinweise und zwei Hinweise mit hoher Priorität
• RECON—Eine von Onapsis Research Labs entdeckte Schwachstelle mit einem neuen CVSS-Score von 10,0 erfordert einen dringenden Patch für SAP NetWeaver AS Java
• Onapsis Research Labs —Unser Team war an der Behebung von fünf Sicherheitslücken beteiligt, die in vier Sicherheitshinweisen behandelt wurden

SAP hat an seinem Patch-Tag im Juli 20 neue oder aktualisierte Sicherheitshinweise veröffentlicht. Auch wenn die Anzahl der kritischen Hinweise im Vergleich zu den letzten Patch-Tagen mit „nur“ zwei HotNews-Hinweisen und zwei Hinweisen mit hoher Priorität sehr moderat ist, handelt es sich dennoch um einen Patch-Tag, der von allen SAP-Kunden höchste Aufmerksamkeit erfordert. SAP hat Patches für die äußerst kritische RECON-Sicherheitslücke (CVSS-Score von 10,0) veröffentlicht, die alle auf SAP NetWeaver AS Java laufenden SAP-Anwendungen betrifft, und empfiehlt dringend, diese unverzüglich zu installieren. Zusätzlich zu der von Onapsis-Forscher Pablo Artuso entdeckten RECON-Sicherheitslücke hat unser Forschungsteam zur Lösung von vier weiteren Bedrohungen beigetragen.

Im Fokus: So schützen Sie Ihre Systeme vor der kritischen RECON-Sicherheitslücke

Im Mai 2020 Onapsis Research Labs die Onapsis Research Labs eine äußerst schwerwiegende Sicherheitslücke, von der alle SAP-Anwendungen betroffen sind, die auf SAP NetWeaver AS Java laufen. Aufgrund der Schwere der Sicherheitslücke und dank der schnellen Reaktion des SAP Security Response Teams, nachdem Onapsis den Fehler gemeldet hatte, konnte SAP diesen innerhalb weniger Wochen beheben. Der SAP-Sicherheitshinweis Nr. 2934135, der mit dem höchstmöglichen CVSS-Score von 10,0 bewertet wurde, wurde in den SAP-Sicherheitshinweisen vom Juli veröffentlicht und enthält den entsprechenden Patch.

Aufgrund der Schwere der RECON-Sicherheitslücke hat das US-Heimatschutzministerium (DHS) in Abstimmung mit dem BSI CERT-Bund die US-CERT-Warnung AA20-195A herausgegeben; im Anschluss daran haben weitere internationale Organisationen vor potenziellen Gefahren im Zusammenhang mit dieser Sicherheitslücke gewarnt. 

Was macht die RECON-Sicherheitslücke so gefährlich?

Die RECON-Sicherheitslücke betrifft eine Kernkomponente, die in der SAP Java NetWeaver-Schicht enthalten ist. Sie kann von nicht authentifizierten Angreifern aus der Ferne ausgenutzt werden, weshalb alle Systeme, die mit nicht vertrauenswürdigen Netzwerken wie dem Internet verbunden sind, ein potenzielles Angriffsziel darstellen. Die Liste der direkt betroffenen SAP-Anwendungen ist recht umfangreich:

• SAP-Unternehmensressourcenplanung (ERP)
• SAP-Lieferkettenmanagement (SCM)
• SAP CRM (Java-Stack)
• SAP Enterprise Portal
• SAP HR-Portal
• SAP Solution Manager (SolMan) 7.2 
• SAP-Landschaftsmanagement (SAP LaMa)
• SAP-Prozessintegration/Orchestrierung (SAP PI/PO)
• SAP Supplier Relationship Management (SRM)
• SAP NetWeaver Mobile Infrastructure (MI)
• SAP NetWeaver Development Infrastructure (NWDI)
• SAP NetWeaver Composition Environment (CE)
• Sonstiges

Da SAP NetWeaver Java eine grundlegende Basisebene für mehrere SAP-Produkte darstellt, würden die konkreten Auswirkungen je nach betroffenem System variieren. Insbesondere gibt es verschiedene SAP-Lösungen, die auf NetWeaver Java aufsetzen und eine gemeinsame Besonderheit aufweisen: Sie sind über APIs und Schnittstellen eng miteinander vernetzt. Mit anderen Worten: Diese Anwendungen sind mit anderen internen und externen Systemen verbunden und nutzen dabei in der Regel Vertrauensbeziehungen mit hohen Berechtigungen.

Die Art und Weise, wie SAP-Anwendungen in Form von SAP Enterprise Portals für das Internet geöffnet werden, schafft in Verbindung mit Integrationstechnologien wie SAP SolMan oder SAP Process Integration ein Umfeld, in dem die Ausnutzung einer Sicherheitslücke mit einem CVSS-Score von 10,0 letztendlich dazu führen könnte, dass Geschäftsdaten und personenbezogene Daten kompromittiert werden. 

In den folgenden Abschnitten werden einige Beispiele für weit verbreitete SAP-Anwendungen näher erläutert, die dieses Muster der API-basierten Hyperkonnektivität aufweisen und von dieser Sicherheitslücke betroffen sind.

SAP-Unternehmensportale

SAP Enterprise Portals bieten einen integrierten Zugang zu HR-Prozessen, Finanzinformationen und Prozessen des Lieferkettenmanagements. Wenn Angreifer diese Systeme kompromittieren können, hat dies letztlich erhebliche Auswirkungen auf Unternehmen – nicht nur im Hinblick auf reine Datenlecks und Risiken, sondern auch, da es sich um Geschäftsprozesse handelt, die Compliance- und regulatorischen Anforderungen unterliegen.

SAP-Prozessintegration

Das Modul „SAP Process Integration“ (PI) ist Teil der platform ermöglicht die Kommunikation und Integration von Geschäftsprozessen sowohl mit SAP- als auch mit Nicht-SAP-Systemen. Es bietet eine zentrale Schnittstelle für den Informationsaustausch zwischen verschiedenen Komponenten wie Vertrieb (SD), Finanz- und Kostencontrolling (FICO), Erweiterte Lagerverwaltung (EWM) und Kundenbeziehungsmanagement (CRM) sowie weiteren. 

Trotz einer sicheren Konfiguration des SAP-PI-Moduls könnte ein Angreifer durch Ausnutzung der RECON-Sicherheitslücke hohe Berechtigungen erlangen und so sensible Daten aus jedem der mit dem SAP-PI verbundenen Module anzeigen, ändern oder löschen – was kritische Integrationen mit strategischen Geschäftspartnern und wesentliche Prozesse beeinträchtigen würde. Da der Angreifer Administratorrechte im SAP-PI-Modul erlangen könnte, könnte dieses strategisch als Sprungbrett genutzt werden, um sensible Informationen aus verschiedenen Modulen, wie den zuvor genannten, zu erlangen.

SAP Solution Manager

SAP SolMan zielt darauf ab, die Verwaltung aller SAP- und Nicht-SAP-Systeme innerhalb der Infrastruktur eines Unternehmens zu zentralisieren. Als Verwaltungslösung übernimmt es Aufgaben wie die Implementierung, den Support, die Überwachung und die Wartung der SAP-Unternehmensanwendungen und -Systeme.

Gelingt es einem Angreifer, SolMan zu kompromittieren, kann er bestehende Vertrauensbeziehungen missbrauchen und sich von dort aus auf jedes beliebige Satellitensystem ausbreiten. Vertrauensbeziehungen zwischen SolMan und den damit verbundenen Systemen sind in der Regel mit weitreichenden Berechtigungen konfiguriert, was sie aus Sicht des Angreifers zu einem attraktiven Angriffsvektor macht, um sich weiteren Zugriff auf in Satellitensystemen gespeicherte Geschäftsdaten zu verschaffen.

Auswirkungen eines potenziellen Sicherheitslückenausnutzungsversuchs auf das Geschäft

Sobald ein System kompromittiert wurde, sind die möglichen Folgen nahezu unbegrenzt. Unter anderem können Angreifer einen neuen Benutzer mit Administratorrechten anlegen, wodurch sie jeden Datensatz, jede Datei und jeden Bericht im System verwalten (lesen, ändern, löschen) können. Ganz zu schweigen von den möglichen Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Systems.

Da ein Angreifer durch die Ausnutzung nicht gepatchter Systeme uneingeschränkten Zugriff erlangen könnte, stellt diese Sicherheitslücke möglicherweise auch einen Mangel in den IT-Kontrollmechanismen eines Unternehmens im Hinblick auf gesetzliche Vorschriften dar – was sich potenziell auf die Einhaltung finanzieller Vorschriften (Sarbanes-Oxley) und Datenschutzbestimmungen (DSGVO) auswirken könnte. 

Durch Ausnutzen dieser Sicherheitslücke kann ein Angreifer verschiedene böswillige Aktionen ausführen, darunter:

• Persönliche Daten von Mitarbeitern, Kunden und Lieferanten stehlen
• Finanzdaten lesen, ändern oder löschen 
• Bankverbindung ändern (Kontonummer, IBAN usw.)
• Einkaufsprozesse verwalten
• Den Betrieb des Systems stören, indem Daten beschädigt oder das System vollständig heruntergefahren wird
• Durch die Ausführung von Betriebssystembefehlen uneingeschränkte Aktionen ausführen
• Spuren, Protokolle und andere Dateien löschen oder bearbeiten

Die geschäftlichen Folgen eines möglichen Angriffs auf RECON könnten finanzielle Verluste, Verstöße gegen Compliance-Vorschriften und Reputationsschäden für das von einem Cyberangriff betroffene Unternehmen sein.

Angesichts der enormen Auswirkungen auf Tausende von SAP-Anwendungen empfiehlt Onapsis dringend, den bereitgestellten Patch zu installieren. Als vorübergehende Abhilfe können Kunden die betroffene Java-Anwendung deaktivieren, sofern sie nicht benötigt wird. Eine detaillierte Beschreibung zur Deaktivierung der anfälligen Anwendung finden Sie im von SAP veröffentlichten SAP-Hinweis Nr. 2939665. Weitere Informationen zur RECON-Sicherheitslücke und den Auswirkungen eines potenziellen Angriffs auf SAP-Systeme finden Sie im Onapsis-Bericht zur RECON-Sicherheitslücke. 

Darüber hinaus hat Onapsis Webinare mit einer Live-Fragerunde zu den RECON-Sicherheitslücken angesetzt. Melden Sie sich hier an:

• 14. Juli, 9 Uhr (ET)
• 14. Juli, 12 Uhr ET
• 15. Juli, 9 Uhr (ET)
• 15. Juli, 12:00 Uhr ET

Ein weiterer Beitrag der Onapsis Research Labs

SAP hat am Patch-Tag im Juli vier Cross-Site-Scripting-Sicherheitslücken in SAP BusinessObjects behoben. Eine dieser Sicherheitslücken wurde von Onapsis Research Labs gemeldet Onapsis Research Labs mit dem SAP-Sicherheitshinweis Nr. 2849967 behoben, der mit einem CVSS-Score von 6,1 versehen ist. Diese Sicherheitslücke wird durch eine unzureichende Kodierung von benutzergesteuerten Eingaben verursacht.

Der SAP-Sicherheitshinweis Nr. 2896025 beschreibt eine Server-Side Request Forgery-Sicherheitslücke in einem SAP NetWeaver AS Java-Dienst, die es einem Angreifer ermöglicht, durch das Senden speziell gestalteter Anfragen interne Systeme hinter Firewalls anzugreifen, auf die vom externen Netzwerk aus normalerweise kein Zugriff besteht. Die möglichen Auswirkungen reichen vom Sammeln von Informationen für weitere Angriffe bis hin zur Umgehung von Firewalls, um den anfälligen Server zur Ausführung böswilliger Anfragen zu zwingen. Der CVSS-Score von 5,8 spiegelt die Tatsache wider, dass ein Angriff nicht sehr komplex ist und aus der Ferne gestartet werden kann, ohne dass Berechtigungen oder eine Benutzerinteraktion erforderlich sind. 

Die Onapsis Research Labs haben Onapsis Research Labs eine Sicherheitslücke in der Suchfunktion der Transaktion AL11 auf SAP NetWeaver AS ABAP entdeckt, die es einem Benutzer mit Administratorrechten ermöglicht, Dateien zu erkennen und herunterzuladen, die eigentlich vor dem Zugriff geschützt sind. Der SAP-Sicherheitshinweis Nr. 2927373, der mit einem CVSS-Score von 2,7 versehen ist, enthält den entsprechenden Patch. Da für die Ausnutzung dieser Sicherheitslücke Administratorrechte erforderlich sind und die Auswirkungen gering sind, wird der Hinweis als „niedrige Priorität“ eingestuft.

Weitere wichtige SAP-Sicherheitshinweise im Juli

Die zweite HotNews-Meldung betrifft den regelmäßig erscheinenden SAP-Sicherheitshinweis Nr. 2622660, der den neuesten Patch für den SAP Business Client bereitstellt und die aktuellste unterstützte Version von Google Chromium (Chromium 83.0.4103.97) enthält. Im Vergleich zum letzten Update des SAP Business Client umfasst die neue Chromium-Version insgesamt 43 Korrekturen mit einem höchsten CVSS-Score von 9,6.

Die beiden Hinweise mit hoher Priorität beheben Sicherheitslücken im Zusammenhang mit der Offenlegung von Informationen in SAP NetWeaver AS Java und SAP NetWeaver AS ABAP. 

Der SAP-Sicherheitshinweis Nr. 2932473, der mit einem CVSS-Score von 7,7 versehen ist, behebt einen Fehler im SAP XML Toolkit für Java, der es Angreifern ermöglicht, auf beliebige Dateien zuzugreifen, deren Zugriff sonst eingeschränkt wäre. Diese Informationen können anschließend genutzt werden, um weitere Angriffe zu starten.

Der SAP-Sicherheitshinweis Nr. 2734580 mit einem CVSS-Score von 7,4 ist die zweite Aktualisierung eines Hinweises, der ursprünglich am SAP-Patch-Day im Mai veröffentlicht wurde. Der Abschnitt „Voraussetzungen“ wurde um einen weiteren Hinweis ergänzt.

Zusammenfassung und Schlussfolgerungen

Mit nur vier kritischen Sicherheitshinweisen von insgesamt 20 scheint der Patch-Tag von SAP im Juli einer der ruhigeren zu sein. Doch aufgrund der Veröffentlichung der RECON-Sicherheitslücke ist dieser Patch-Monat einer der kritischsten des Jahres. Zum zweiten Mal im Jahr 2020 unterstützte Onapsis SAP dabei, eine Sicherheitslücke mit einem CVSS-Score von 10,0 zu beheben.    

Die RECON-Sicherheitslücke zeigt einmal mehr, dass es der gemeinsamen Anstrengung aller Mitglieder der SAP-Community bedarf, um defend Cyberangriffe defend – SAP-Partner wie Onapsis, die kontinuierlich nach unbekannten Sicherheitslücken suchen, SAP, um gemeldete Bedrohungen zu beheben, und nicht zuletzt jeder SAP-Kunde, der den bereitgestellten Patch so schnell wie möglich installieren sollte.

Wie immer Onapsis Research Labs bereits Onapsis Research Labs , die Platform zu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können. 

Mithilfe der Assess der Platform können Onapsis-Kunden automatisch eine umfassende Bestandsaufnahme ihrer SAP-Landschaft durchführen und analysieren, ob die RECON-Sicherheitslücke in ihren SAP-Systemen vorhanden ist, um die Behebung zu optimieren und das Risiko zu mindern.

Onapsis-Kunden, die die Defend der Platform nutzen, verfügen über eine Erkennungsregel, die kontinuierlich auf böswillige Aktivitäten überwacht und Warnmeldungen ausgibt, um Angriffe zu verhindern, die die RECON-Sicherheitslücke ausnutzen. 

Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest Onapsis“-Newsletter.