SAP-Sicherheitshinweise Juni 2019: SAP hat die Priorität für den SAP Solution Manager-Patch erhöht

Von:

11. Juni 2019

Zu den Höhepunkten der SAP-Notes-Analyse für Juni gehören:

  • SAP-Hinweismit hoher Priorität zum Solution Manager – SAP hat die Kritikalität dieses Hinweises erhöht, der ursprünglich mit mittlerer Priorität veröffentlicht wurde, aber aufgrund eines neuen CVSS-Werts auf hohe Priorität angehoben wurde
  • Aktuelle Meldungen zu Google Chromium– Die einzige aktuelle Meldung in diesem Monat ist ein wiederkehrender Hinweis, eine Google-Chromium-Komponente im SAP Business Client zu patchen
  • Von Onapsis Research Labs gemeldete Sicherheitshinweise – Neben dem erneut veröffentlichten Hinweis mit hoher Priorität hat SAP außerdem vier neue SAP-Sicherheitshinweise veröffentlicht, die von Onapsis-Forschern gemeldet wurden und mehrere Plattformen betreffen, darunter eine für mobile Anwendungen
  • Onapsis hat gemeldet, dass mehr als die Hälfte der Patches, die SAP im letzten Jahr im Zusammenhang mit mobilen Anwendungen veröffentlicht hat, von Onapsis gemeldet wurden

Am heutigen SAP-Patch-Tag sind zwei SAP-Sicherheitshinweise als „Top Priority“ eingestuft, die beide bereits zuvor veröffentlicht wurden. Der SAP-Sicherheitshinweis Nr. 2748699, der den SAP Solution Managerbetrifft , wurde von „Medium“ auf „High“ hochgestuft (der einzige in dieser Kategorie in diesem Monat). Dieser Hinweis wurde ursprünglich im Mai veröffentlicht, nachdem er von Onapsis Research Labs gemeldet worden war. Aufgrund des kontinuierlichen Austauschs zwischen unserem Forschungsteam und dem SAP Security Response Team hat SAP den CVSS-Wert von 4,3 auf 7,1 angehoben, wodurch der Hinweis nun als „High Priority“ eingestuft wird. Bei erfolgreicher Ausnutzung kann diese Schwachstelle (CVE-2019-0291) dazu führen, dass ein Angreifer gültige Benutzeranmeldedaten erlangt und privilegierte Benutzerkonten erstellen kann. Der CVSS-Wert wurde aufgrund neuer, schwerwiegender Auswirkungen auf die Vertraulichkeit erhöht. Die Behebung dieser Schwachstelle ist nicht einfach. In der Mitteilung werden mehrere manuelle Schritte beschrieben, die nicht nur die Installation der korrigierten Softwarekomponente umfassen, sondern auch die Abhängigkeiten von anderen SAP-Sicherheitsmitteilungen, die zuerst angewendet werden sollten, sowie schließlich die Durchführung manueller Schritte zur Sicherung und ordnungsgemäßen Verschlüsselung von Anmeldedaten. 

Der SAP-Sicherheitshinweis Nr. 2622660 erscheint erneut als einzige „HotNews“ des Monats; es ist bereits das vierte Mal in diesem Jahr, dass er veröffentlicht wurde. Unter dem Titel „Sicherheitsupdates für das Control Chromium, das mit dem SAP Business Client ausgeliefert wird“ haben wir bereits seit mehreren Monaten über diesen Hinweis berichtet, seit seiner ursprünglichen Veröffentlichung im Jahr 2018. Dieser Fix ist an sich keine SAP-Sicherheitslücke, doch das Problem tritt auf, wenn ein SAP Business Client auf einem veralteten Chromium läuft und ein potenzieller Angreifer SAP-Business-Client-Benutzerzugriff erlangen könnte, um bösartigen Code auszuführen. Auch wenn der Hinweis als HotNews veröffentlicht wurde, hängt die tatsächliche Auswirkung davon ab, welche Chromium-Sicherheitslücke ausgenutzt wird, da der Hinweis die gesamte Komponente aktualisiert, die Patches für verschiedene Fehler wie Remote-Code-Ausführung, Offenlegung von Informationen, Denial-of-Service (DoS) oder sogar Session-Hijacking enthält. Um unnötige Risiken zu vermeiden, empfehlen wir Benutzern, den SAP Business Client-Browser nicht für andere als SAP-bezogene Aktivitäten zu verwenden. 

Sicherheitshinweise, gemeldet von Onapsis Research Labs 

In diesem Monat hat SAP vier neue Sicherheitslücken behoben, die von den Onapsis Research Labs gemeldet wurden; drei davon wurden als „mittlere Priorität“ und die vierte als „niedrige Priorität“ eingestuft.

SAP-Sicherheitshinweis zu BusinessObjects. Der Hinweis mit dem höchsten CVSS-Score von 6,1 (CVE-2019-0303) ist der SAP-Sicherheitshinweis Nr. 2637997, der sich auf eine Cross-Site-Scripting-Sicherheitslückebezieht , von der SAP BusinessObjects (SAP BusinessObjects Business Intelligence Platform .2 SP 05 und höher) betroffen ist. Ein nicht authentifizierter Angreifer könnte aus der Ferne eine bösartige URL erstellen, die beliebigen JavaScript-Code im Webbrowser des Opfers ausführt, wodurch der Angreifer möglicherweise Administratorrechte erlangt, wenn das Opfer ein privilegierter BusinessObjects-Benutzer ist.

SAP-Sicherheitshinweis zu SAP HANA XSA. Der SAP-Sicherheitshinweis Nr. 2771128 mit dem Titel „Information Disclosure in SAP HANA Extended Application Services (Advanced Model) “ beschreibt eine Sicherheitslücke, die von entfernten Benutzern mit geringen Berechtigungen ausgenutzt werden kann und SAP HANA XS Advanced betrifft. Mit einem CVSS v3.0-Score von 4,3 (CVE-2019-0306) könnte die Anwendung bei Ausnutzung dazu verleitet werden, sensible Informationen wie gültige Administrator-Benutzernamen preiszugeben.

SAP-Sicherheitshinweis zur SMP Mobile Platform. Eine Reihe von Sicherheitslücken, die kürzlich von unseren Forschungslabors gemeldet wurden und sich auf SAP-Mobilprodukte konzentrieren: Der SAP-Sicherheitshinweis Nr. 2793805 ist eine Korrektur für einen zuvor veröffentlichten Sicherheitshinweis (Nr. 2725538). Beide Hinweise betreffen die SMP Mobile Platform. Der erste behebt ein Problem im SDK, das zur Entwicklung mobiler Anwendungen verwendet wird, während der in diesem Monat veröffentlichte Hinweis (CVSS-Score von 5,5) die potenzielle DoS-Anfälligkeit in den mobilen Anwendungen SAP Inventory Manager und SAP Work Manager behebt. Onapsis hat im letzten Jahr zur Behebung von 70 % der mobilbezogenen Hinweise beigetragen, wobei sieben der zehn SAP-Hinweise von unserem Forschungsteam gemeldet wurden. 

SAP-Hinweis zum Diagnostic Agent. Dieser vierte Hinweis, der auf zuvor von unseren Forschern gemeldeten Sicherheitslücken basiert, ist der einzige in diesem Abschnitt, der mit der Priorität „Niedrig“ gekennzeichnet ist. SAP-Hinweis Nr. 2772266 behebt eine Sicherheitslücke, die es einem Angreifer mit lokalen und geringen Berechtigungen ermöglicht, sensible Informationen auszulesen. Benutzernamen und Passwörter für den SAP Diagnostic Agent sind standardmäßig nicht ordnungsgemäß verschlüsselt, sodass ein erfolgreicher Angreifer möglicherweise Zugriff darauf erlangen und diese später wiederverwenden kann, um sich über diesen Benutzer mit hohen Berechtigungen Zugang zu anderen Systemen zu verschaffen. Auch wenn der CVSS-Wert (3,4) niedrig ist, kann die Ausnutzung dieser Schwachstelle in Kombination mit anderen Fehlern Teil eines kritischen Angriffs sein.

Zusammenfassung und Schlussfolgerungen

Seit dem Patch Day im vergangenen Mai wurden insgesamt 19 Sicherheitshinweise veröffentlicht. Nachfolgend finden Sie eine Übersicht über die Arten von Sicherheitslücken, die nach dem Patch Day dieses Monats behoben wurden. Aufgeführt sind folgende Arten: Offenlegung von Informationen, Cross-Site-Scripting (XSS) und umschaltbare Autorisierungsprüfungen.

SAP

Zum achten Mal in Folge hat SAP vier Forscher der Onapsis Research Labsausgezeichnet: Yvan Genuer, Gaston Traberg, Nahuel Sanchez und Pablo Artuso. Sie haben SAP dabei geholfen, die Sicherheit und Integrität der IT-Systeme ihrer Kunden zu verbessern (keine anderen Sicherheitsmelder wurden so konsequent und häufig ausgezeichnet wie die Onapsis Research Labs).

Wie bei Onapsis üblich, werden wir auch weiterhin jeden Patch Tuesday unsere Analyse-Blogs zu den SAP-Sicherheitshinweisen veröffentlichen und daran arbeiten, die Onapsis Security Platform zu aktualisieren, um diese neu veröffentlichten Sicherheitslücken zu berücksichtigen. So können unsere Kunden überprüfen, ob ihre Systeme auf dem neuesten Stand der SAP-Sicherheitshinweise sind, und sicherstellen, dass diese Systeme mit dem erforderlichen Sicherheitsniveau konfiguriert sind, um ihre Audit- und Compliance-Anforderungen zu erfüllen.

Wenn Sie weitere Informationen zu den aktuellen SAP-Sicherheitsproblemen erhalten und über unsere kontinuierlichen Bemühungen zum Wissensaustausch mit der Sicherheits-Community auf dem Laufenden bleiben möchten, abonnieren Sie unseren monatlichen „Defender’s Digest Onapsis“-Newsletter.

Stichworte, , ,
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen