SAP-Sicherheitspatches Juni 2020: Zwei kritische Korrekturen für SAP Commerce veröffentlicht

Von:

9. Juni 2020

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Juni gehören:

  • Zusammenfassung für Juni—23 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter zwei HotNews-Hinweise und fünf Hinweise mit hoher Priorität
  • SAP Commerce am stärksten betroffen—Ein HotNews-Fix und ein Fix mit hoher Priorität veröffentlicht
  • Onapsis Research Labs —Unser Team war an der Behebung von sechs Sicherheitslücken beteiligt, die in vier Sicherheitshinweisen behandelt wurden, darunter drei kritische

SAP hat in diesem Monat 23 neue oder aktualisierte Sicherheitshinweise veröffentlicht. Davon handelt es sich bei sieben um kritische Korrekturen, was dem aktuellen Monatsdurchschnitt für 2020 entspricht und einen deutlichen Rückgang gegenüber den 13 kritischen Korrekturen im Mai darstellt. Eine weitere gute Nachricht ist, dass fünf der kritischen Sicherheitslücken durch die einfache Installation der entsprechenden Patches leicht behoben werden können. Eine Anwendung, die plötzlich viel Aufmerksamkeit auf sich zieht, ist SAP Commerce, für die in diesem Monat einige kritische Korrekturen hinzugefügt wurden.

Im Mittelpunkt des Patch Day im Juni: SAP Commerce

Es ist erst einen Monat her, dass SAP einen kritischen HotNews-Patch für SAP Commerce veröffentlicht hat, der eine schwerwiegende Sicherheitslücke bei der XML-Validierung behoben hat. Das neue Problem wurde zuvor von den Onapsis Research Labs entdeckt Onapsis Research Labs half SAP dabei, zwei weitere kritische Sicherheitslücken zu schließen:

Der SAP-Sicherheitshinweis Nr. 2918924 mit einem CVSS-Wert von 9,8 befasst sich mit fest codierten Benutzeranmeldedaten in SAP Commerce und SAP Commerce Data Hub. Dieses Problem tritt in vielen Softwareprodukten auf, da diese Produkte integrierte Konten mit öffentlich bekannten Passwörtern verwenden und die Administratoren nicht dazu verpflichten, diese Passwörter während oder nach der Installation der Anwendung zu ändern. Beispielsweise kennt jeder SAP-Basis-Mitarbeiter die Inhaber der Passwörter „6071992“ oder „admin“. SAP hat das Problem nun für SAP Commerce und SAP Commerce Data Hub behoben. Nach dem Aufspielen des Patches wird bei einer Neuinstallation von SAP Commerce nur noch das integrierte „admin“-Konto aktiviert. Der Installateur ist verpflichtet, ein Initialpasswort für dieses Konto festzulegen. Andere integrierte Benutzer werden während der Installation weiterhin angelegt, sind jedoch inaktiv, bis ein individuelles Passwort für diese Konten festgelegt wird. Die letztgenannte Regel gilt auch für alle integrierten Benutzer von SAP Commerce Data Hub.

Wichtig ist, dass die Patches nur neue Installationen von SAP Commerce (Data Hub) betreffen. Sie entfernen keine Standardpasswörter aus den integrierten Konten bestehender Installationen. Als eine Möglichkeit, dies zu erreichen, schlägt der Hinweis vor, die SAP-Commerce-Installation nach dem Anwenden des Patches neu zu initialisieren – eine Option, die für die meisten Kunden wahrscheinlich nicht in Frage kommt. Daher enthält der Hinweis auch eine Anleitung zum Deaktivieren aller Standardpasswörter für Benutzer, um die Standardpasswörter aus allen integrierten Konten zu entfernen.

Der SAP-Sicherheitshinweis Nr. 2906366, der mit einem CVSS-Wert von 8,6 bewertet wurde, behebt eine Sicherheitslücke in SAP Commerce, die zur Offenlegung von Informationen führen kann. Die Onapsis Research Labs , dass ein böswilliger Benutzer unter bestimmten Konfigurationen einiger Eigenschaftswerte unsichere Funktionen des Anmeldeformulars ausnutzen könnte, um an Informationen zu gelangen, die für weitere Exploits und Angriffe genutzt werden könnten. Einige der erforderlichen Eigenschaftswerte sind sogar standardmäßig voreingestellt.

Weitere Beiträge aus den Onapsis Research Labs

Der SAP Solution Manager (SolMan) ist ein fester Bestandteil der SAP-Landschaft jedes Kunden. Da er in der Regel über RFC mit allen SAP-Systemen verbunden ist und zusätzlich mit verschiedenen Agenten auf diesen Systemen kommuniziert, stellt er ein attraktives Ziel für Angreifer dar. Aus diesem Grund Onapsis Research Labs die Onapsis Research Labs in den letzten zwei Jahren Hunderte von Stunden investiert, um jede technische Komponente von SAP SolMan zu analysieren. Dies führte zu mehreren kritischen Korrekturen, darunter ein Patch für eine CVSS 10.0-Schwachstelle im März 2020 sowie eine neue Korrektur mit hoher Priorität am Patch-Tag im Juni. Der SAP-Sicherheitshinweis Nr. 2931391, der mit einem CVSS-Wert von 8,2 bewertet wurde, beschreibt eine Schwachstelle aufgrund fehlender XML-Validierung im Problem Context Manager. Während ein Exploit nur geringfügige Auswirkungen auf die Vertraulichkeit des Systems hat, kann er schwerwiegende Auswirkungen auf die Verfügbarkeit des Systems haben.

Unser Team hat zwei ähnliche Sicherheitslücken gemeldet, die die Tracing-Analyse in SAP SolMan betreffen. SAP hat beide mit dem Hinweis Nr. 2915126( mittlere Priorität ) behoben. Der Hinweis beschreibt das Risiko, dass zusätzliche Inhalte in Trace-Dateien eingeschleust werden, um Leser zu verwirren und sie so daran zu hindern, verdächtige Prozesse zu erkennen.

Weitere wichtige SAP-Sicherheitshinweise im Juni

Am heutigen Patch-Tag wurde eine zweite HotNews-Mitteilung veröffentlicht, die SAP Liquidity Management for Banking betrifft. Aufgrund einer bekannten Sicherheitslücke in Apache Tomcat, die als „Ghostcat“ bezeichnet wird, empfiehlt SAP dringend, alle Ports zu deaktivieren, die das Apache JServ Protocol (AJP-Protokoll) verwenden. Das Problem wird in der SAP-Sicherheitsmitteilung Nr. 2928570 beschrieben. Während der Hinweis auf das Risiko einer Remote-Code-Ausführung hinweist, erwähnt die Beschreibung der entsprechenden CVE-2020-1938, dass „AJP-Verbindungen … auf überraschende Weise ausgenutzt werden können“. Diese Aussage sollte zusammen mit dem CVSS-Score von 9,8 Grund genug sein, alle AJP-Ports zu deaktivieren. Falls Kunden das AJP-Protokoll in ihrem Szenario unbedingt benötigen, empfiehlt der Hinweis, das erforderliche Secret-Attribut in der Konfiguration des AJP-Konnektors festzulegen.

Das Paket kritischer Korrekturen wird durch zwei Hinweise mit hoher Priorität für SAP NetWeaver AS ABAP und einen Hinweis mit hoher Priorität für SAP SuccessFactors ergänzt:

Der SAP-Sicherheitshinweis Nr. 2912939 behebt eine Schwachstelle in der Architektur des Batch-Input-Prozesses, die es einem böswilligen Benutzer ermöglicht, Benutzeranmeldedaten abzugreifen. Obwohl die Auswirkungen auf die Integrität, Vertraulichkeit und Verfügbarkeit des Systems hoch sind, beträgt der CVSS-Wert „nur“ 7,6, da die Komplexität des Angriffs hoch ist und für eine erfolgreiche Ausnutzung der Schwachstelle sowohl Administratorrechte auf dem MS SQL Server als auch Batch-Input-Berechtigungen in SAP erforderlich sind.

Der zweite Hinweis mit hoher Priorität für SAP NetWeaver AS ABAP, Hinweis Nr. 2734580, enthält lediglich einige geringfügige Aktualisierungen der Informationen zu Korrekturanweisungen und Korrekturgültigkeit und wurde ursprünglich im Mai 2020 veröffentlicht. Er behebt eine Sicherheitslücke im Zusammenhang mit der Offenlegung von Informationen, die mit einem CVSS-Wert von 7,4 bewertet wird.

Zu guter Letzt hat SAP einen Fix mit hoher Priorität für SAP SuccessFactors veröffentlicht, eine SAP-Komponente, die seit Jahren überhaupt nicht mehr bei den SAP Patch Days vertreten war, da es sich um eine cloud Lösung handelt. Der SAP-Sicherheitshinweis Nr. 2933282 behebt eine Sicherheitslücke aufgrund fehlender Berechtigungen in SAP SuccessFactors , die zu einer Rechteausweitung führt. Ohne diesen Fix können Benutzer Administratorrechte erlangen, die es ihnen ermöglichen, alle anwendungsbezogenen Daten zu lesen und zu ändern. Es ist wichtig zu erwähnen, dass Kunden manuelle Änderungen vornehmen müssen, um geschützt zu sein.

Zusammenfassung und Schlussfolgerungen

Mit sieben kritischen SAP-Sicherheitshinweisen und insgesamt 23 Hinweisen entsprechen die im Juni veröffentlichten Patch-Zahlen fast dem Monatsdurchschnitt des Jahres 2020. Wir sind gespannt auf die weitere Entwicklung der Hinweiszahlen in der zweiten Jahreshälfte 2020. Eine Hochrechnung der aktuellen Durchschnittswerte würde zu mehr als 70 kritischen Hinweisen und insgesamt mehr als 240 Hinweisen führen. Dies würde einen Wendepunkt für die seit 13 Jahren kontinuierlich sinkenden Zahlen darstellen. Die gute Nachricht ist, dass SAP-Anwendungen mit jedem einzelnen Fix sicherer werden, und die andere gute Nachricht ist, dass Unternehmen wie Onapsis SAP dabei unterstützen, den bestmöglichen Schutz vor allen Arten böswilliger Aktivitäten zu erreichen. In diesem Monat half Onapsis SAP bei der Behebung von drei kritischen Schwachstellen und insgesamt vier Schwachstellen.

SAP-Sicherheitshinweise vom Juni 2020

Wie immer Onapsis Research Labs bereits Onapsis Research Labs , die Platform zu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können. 

Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest Onapsis“-Newsletter.

Alle SAP-Sicherheitshinweise anzeigen

Stichwörter, , ,
Über den Autor

Thomas Fritsch

Als führender SAP-Sicherheitsforscher bei Onapsis gilt Thomas Fritsch als anerkannte Autorität in den Bereichen vulnerability management und neue Bedrohungen. Aufgrund seiner langjährigen Erfahrung als SAP-Experte konzentriert er sich auf hochtechnische Bereiche wie die Konfiguration von SAP-Systemen und das Transportmanagement. Thomas’ Analysen der neuesten SAP-Sicherheitspatches und -Schwachstellen sind ein zentraler Bestandteil der Forschungsarbeit, die Unternehmen die fundierten und umsetzbaren Erkenntnisse liefert, die sie zum Schutz ihrer Systeme benötigen. Seine Rolle als angesehener Redner und Autor festigt seinen Ruf als maßgebliche Stimme im Bereich der SAP-Cybersicherheit und trägt dazu bei, die Lücke zwischen komplexer Forschung und praktischen Sicherheitsmaßnahmen in der realen Welt zu schließen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen