SAP-Sicherheitshinweise Juni 2017: Offenlegung von Informationen und Denial-of-Service-Angriffe
Wie am zweiten Dienstag jedes Monats hat SAP heute seine monatlichen Sicherheitshinweise veröffentlicht, um die Sicherheit Ihrer SAP-Infrastruktur zu gewährleisten. In diesem Monat hat SAP 18 neue Sicherheitshinweise veröffentlicht und 11 Sicherheitshinweise herausgegeben, die nach dem 9. Mai (dem letzten Patch Tuesday) erschienen sind – insgesamt also 29 Hinweise, die in diesem Beitrag analysiert werden. Zum zweiten Mal in Folge gibt es keine Hinweise, die als „Hot News“ gekennzeichnet sind – die kritischste Risikokategorie, die SAP für neu entdeckte Schwachstellen katalogisiert hat. In diesem Monat gibt es jedoch fünf Sicherheitshinweise mit „hohem Risiko“, die bei der Priorisierung berücksichtigt werden sollten.
Es ist wichtig zu beachten, dass die meisten der in diesem Monat gemeldeten Sicherheitshinweise (mehr als 80 %) automatisch erfolgen, was bedeutet, dass nach der Installation keine manuellen Schritte erforderlich sind. Diese Sicherheitshinweise lassen sich leichter umsetzen als die manuellen, was bei der Priorisierung berücksichtigt werden kann. Nachstehend finden Sie eine detaillierte Aufstellung der verschiedenen Arten von Sicherheitslücken, die in diesem Monat gemeldet wurden:
Von Onapsis gemeldete Fehler: Vertraulichkeit und Verfügbarkeit
In diesem Monat hat SAP sechs von den Onapsis Research Labs gemeldete Sicherheitslücken behoben und diese in drei SAP-Sicherheitshinweisen zusammengefasst. Alle diese Sicherheitslücken betreffen die Vertraulichkeit und Verfügbarkeit von Informationen. Unser Forschungsteam hat sie im Rahmen einer eingehenden Analyse des SAP Message Server entdeckt, einem Protokoll bzw. Dienst, der in allen SAP-Systemen vorhanden ist. Wir haben uns ursprünglich mit dem SAP Message Server befasst, da ein Fehler in diesem Dienst erhebliche Auswirkungen hätte, da dieser Dienst in jeder SAP-Implementierung aktiviert sein kann.
Die ersten beiden Sicherheitslücken, die im SAP-Sicherheitshinweis Nr. 2445033mit dem Titel „Information Disclosure in SAP NetWeaver Message Server“ behoben wurden, beeinträchtigen unmittelbar die Vertraulichkeit. Durch das Senden benutzerdefinierter Pakete könnte ein Angreifer Informationen über die Konfiguration des SAP Message Servers abrufen. Auch wenn Sicherheitslücken dieser Art nicht als kritisch eingestuft werden, könnten sie als erster Schritt für gezielte Angriffe genutzt werden – also genau die Art von Angriffen, vor denen große Unternehmen geschützt sein sollten. Mit anderen Worten: Ein Fehler, der zur Offenlegung von Informationen führt, könnte in anderen Arten von Software (nicht geschäftskritischen Anwendungen) im Rahmen eines größeren Angriffs weniger Auswirkungen haben als in diesem Szenario.
In einem zweiten Hinweis, Nr. 2445071mit dem Titel „Denial-of-Service (DOS) im SAP NetWeaver Message Server“, könnte ein Angreifer die Verfügbarkeit über dieselbe Ressource direkt beeinträchtigen, indem er maßgeschneiderte Pakete versendet. In diesem Fall könnte der Angriff, wie der Name des Hinweises andeutet, nicht nur zu einem Denial-of-Service-Angriff auf statistischer Ebene des Message Servers führen, sondern auch zur Änderung bestimmter Parameter in demselben Dienst, der Teil der Überwachungs- und Administrationswerkzeuge des SAP Message Servers ist. In diesem Hinweis hat SAP drei von Onapsis gemeldete Fehler zusammengefasst, die dieselbe Art von Angriff mit unterschiedlichen Parametern ermöglichen.
Schließlich gibt es noch einen dritten Hinweis, der von unserem Team gemeldet wurde:#2425129, „Sicherheitslücke durch fehlende XML-Validierung im SAP Note Assistant“. In diesem Hinweis hat SAP Einschränkungen für externe Verweise auf XML-Dateien im SAP Note Assistant festgelegt, die (ohne angemessenen Schutz) nicht nur zum Abruf von Dateien (Vertraulichkeit) führen können, sondern in einigen Fällen auch zu Denial-of-Service-Angriffen.
Unsere Forscher Andrés Blanco, Nahuel D. Sánchez, Martin Doyhenard und Alejandro Burzyn wurdendiesenMonat auf derSAP-Websitegewürdigt. Wir sind sehr stolz auf ihren unermüdlichen Einsatz bei der Aufdeckung neuer Fehler und deren rascher Meldung an SAP, um zur Sicherheit von ERP-Systemen beizutragen.
Details zu Notizen mit hoher Priorität
Wie bereits erwähnt, gibt es in diesem Monat fünf Sicherheitshinweise mit „hoher Priorität“, die vorrangig behandelt werden sollten, da sie einen größeren Einfluss (in der Regel durch einen höheren CVSS-Wert) auf die allgemeine Sicherheitslage haben. Zwei davon beziehen sich auf Denial-of-Service-Angriffe, zwei weitere auf die HTTPS-Sicherheit und der dritte auf einen Cross-Site-Scripting-Fehler. Hier ist eine nach Priorität geordnete Liste dieser Hinweise:
- Denial-of-Service (DOS) in BILaunchPad und Central Management Console (#2313631): Beide Dienste können ausgenutzt werden, was zu einem Denial-of-Service-Angriff auf die Server führt; dieser wird aufgrund seiner erheblichen Auswirkungen auf die Verfügbarkeit als solcher eingestuft.
CVSS v3-Basiswert: 7,5 / 10 - Denial-of-Service (DOS) im SAP NetWeaver Instance Agent Service (#2389181): Gleicher Fehlertyp und gleiche Bedingungen wie beim vorherigen, betrifft jedoch einen anderen Dienst.
CVSS v3-Basiswert: 7,5 / 10 - Verbesserte Sicherheit für ausgehende HTTPS-Verbindungen in SAP NetWeaver (#2416119): Dieser Hinweis ist eine Aktualisierung einer Veröffentlichung vom März und enthält weitere Informationen zur ordnungsgemäßen und sicheren Konfiguration von HTTPS-Verbindungen. Es ist erwähnenswert, dass es sich hierbei um einen manuellen Hinweis handelt, der spezifische manuelle Schritte nach der Patch-Installation enthält. Dies könnte zu Usability-Problemen führen, wenn die Zertifikate vor der Implementierung nicht ordnungsgemäß konfiguriert sind. Dies ist der zweite Monat, in dem SAP Informationen zu diesem Hinweis veröffentlicht hat, daher empfehlen wir dringend, den Patch so schnell wie möglich zu installieren.
CVSS v3-Basiswert: 7,4 / 10 - Cross-Site-Scripting-Sicherheitslücke (XSS) in der HTML-Oberfläche von SAP BusinessObjects Web Intelligence (#2396544): Wie bei jedem XSS-Fehler werden control ohne Installation des Hotfixes nicht ausreichend control , was zu clientseitigen Angriffen führen kann. Obwohl XSS-Fehler in der Regel nicht kritisch sind, hat dieser Fehler erhebliche Auswirkungen auf die Vertraulichkeit, was seinen CVSS-Score erhöht.
CVSS v3-Basisscore: 7,1 / 10 - Fehlende Zertifikatsprüfung in CommonCryptoLib (#2444321): Schließlich gibt es noch einen weiteren Hinweis im Zusammenhang mit der Validierung von HTTPS-Zertifikaten. In diesem Fall erfolgt dies über ein Drittanbieter-Tool. Es handelt sich um einen manuellen Hinweis, der durch die Installation der korrigierten Version der Software behoben werden kann, die unter „SAP Software Downloads“ verfügbar ist. Wie beim zugehörigen Fehler können nach der ordnungsgemäßen Installation Probleme auftreten, wenn keine vertrauenswürdigen Zertifikate installiert sind.
CVSS v3-Basiswert: 7,0 / 10
Wie immer arbeitet unser Team bereits daran, unsere Onapsis Security Platform zu aktualisieren, Platform diese neu veröffentlichten Sicherheitslücken zu berücksichtigen. So können Sie überprüfen, ob Ihre Systeme auf dem neuesten Stand der aktuellen SAP-Sicherheitshinweise sind, und sicherstellen, dass diese SAP-Systeme mit dem erforderlichen Sicherheitsniveau konfiguriert sind, um Ihre Audit- und Compliance-Anforderungen zu erfüllen.