SAP-Sicherheitshinweise März 2018: Die Risiken von Open Source
Da heute der zweite Dienstag des Monats ist, hat SAP erneut eine Reihe von Sicherheitshinweisen veröffentlicht, um in seiner Software gefundene Sicherheitslücken zu beheben. SAP hat insgesamt 27 neue Sicherheitshinweise herausgegeben, wobei auch diejenigen berücksichtigt wurden, die nach dem Security Patch Day im Februar veröffentlicht wurden.
Was das Jahr 2018 betrifft, so wurden keine Meldungen mit dem Status„Hot News“ – der höchsten Risikokategorie – veröffentlicht; es wurden jedoch sechs Meldungen mitdem Status „High Priority“veröffentlicht, die Beachtung erfordern. Wir werden im letzten Abschnitt auf jede einzelne davon näher eingehen.
Gemeldet von Onapsis: Cross-Site-Scripting-Sicherheitslücke (XSS) in der Prozessüberwachungsinfrastruktur
Bei der Verwaltung einer großen SAP-Landschaft ist es hilfreich, sich einen zentralen Überblick über die Geschäftsprozesse zu verschaffen. Hier kommtdie SAP Process Monitoring Infrastructure (PMI)ins Spiel. SAP PMI bietet die technischen Mittel zur Überwachung von Geschäftsprozessen. Diese Prozesse umfassen oft mehrere Mechanismen. SAP PMI versucht, einen Überblick über einen Geschäftsprozess zu geben, indem es auf einer niedrigen Ebene ansetzt. Es überwacht die technischen Prozessschritte, die den Geschäftsprozessen zugrunde liegen, sammelt die technischen Daten und sendet sie an ein zentrales Überwachungssystem. Im zentralen Überwachungssystem werden die Geschäftsprozesse dann zur Analyse rekonstruiert.
Administratoren kommunizieren mit PMI über Webanwendungen, die auf der Process Monitoring API aufbauen. Diese Komponenten laufen im zentralen Überwachungssystem.
Durch das Senden von Webanfragen können Administratoren Status-, Fehler-, Statistik- und Prozessinformationen abrufen, die anschließend grafisch in einem Browser dargestellt werden.
Der Onapsis-SicherheitsforscherGaston Traberg hat eine Sicherheitslücke mittlerer Schweregrad in PMI (#2592807) entdeckt. Es handelt sich um eine Cross-Site-Scripting-Schwachstelle (XSS), die in einer der Java-Webanwendungen für PMI besteht. Wenn die Webanwendung eine POST-Anfrage an die PMI-API sendet, um Daten abzufragen, werden die Parameter an den Absender zurückgegeben, ohne dass sie im Backend zuvor bereinigt wurden. Das bedeutet, dass benutzerdefinierter Skriptcode in die Anfrage eingebettet werden kann, der anschließend clientseitig ausgeführt wird, wenn die Antwort vom Browser verarbeitet wird. Ein Angreifer kann diese Schwachstelle ausnutzen, indem er einen bereits authentifizierten Benutzer dazu verleitet, auf einen vertrauenswürdig aussehenden, aber bösartigen Link zu klicken. Nachdem das bösartige Skript clientseitig ausgeführt wurde, hat der Angreifer möglicherweise freien Zugriff auf den Rechner des Opfers.
Die Risiken von Open Source
In diesem Monat veröffentlichte SAP einen Hinweismit hoher Priorität(Nr. 2538829) mit dem Titel „Sicherheitslücken in Open-Source-Software im SAP Internet Graphics Server (IGS)“. In diesem Hinweis geht SAP auf Sicherheitslücken inlibtiff,giflibundlibpng ein, bei denen es sich um Open-Source-Bibliotheken von Drittanbietern handelt, die Bilder verarbeiten (TIFF, GIF bzw. PNG). Die Sicherheitslücken in diesen Bibliotheken bestehen bereits seit über einem Jahrzehnt.
Die Entwicklung hochwertiger Software für Endverbraucher ist eine unglaublich komplexe Angelegenheit. Oftmals müssen kluge Köpfe mit Wissen und Erfahrung aus einer Vielzahl von Bereichen zusammenarbeiten, um ein System mit vielen beweglichen Teilen zu entwickeln. Clever konzipierte Software ist modular und wiederverwendbar, was das altbekannte Mantra der Softwareentwicklung untermauert: „Das Rad nicht neu erfinden“. Durch die Verwendung von Softwarebibliotheken, die einfach Sammlungen wiederverwendbarer Code-Teile sind, nutzen Programmierer von anderen bereitgestellte Bausteine und ergänzen diese, um etwas Neues zu schaffen. Auf diese Weise kann ein Krypto-Entwickler mithilfe von Bildverarbeitungsbibliotheken problemlos Bildverarbeitungsfunktionen in seine Anwendung integrieren, während ein Webentwickler seine Anwendung durch den Einsatz von Kryptografie-Bibliotheken absichern kann.
Die Open-Source-Community ist eine hervorragende Quelle für wiederverwendbare Softwarebibliotheken. Einige dieser Bibliotheken haben sich über Jahrzehnte bewährt, das Vertrauen der Community gewonnen und sind in hochwertigen Softwareprodukten zum De-facto-Standard für ihren Anwendungsbereich geworden. OpenSSL beispielsweise, eine Open-Source-Bibliothek zur Sicherung der Kommunikation, wird auf Hunderttausenden von Webservern eingesetzt und in Software implementiert, die für Millionen von Nutzern veröffentlicht wird. Open-Source-Bibliotheken sind kostenlos, stecken voller gebündelter Intelligenz, sind bewährt und stehen jedem offen, um sie auf Hintertüren oder Schwachstellen zu überprüfen. Für viele Unternehmen weltweit scheint dies eine Selbstverständlichkeit zu sein.
In den letzten Jahren hat sich jedoch gezeigt, dass die Nutzung dieser Open-Source-Bibliotheken auch Nachteile mit sich bringt. Im Jahr 2014 trat die kritische OpenSSL Heartbleed erschütterte die IT-Community. Der Heartbleed-Bug„ermöglichte es jedem im Internet, den Speicher der Systeme auszulesen, die durch die anfälligen Versionen der OpenSSL-Software geschützt waren.“ Er warf die Frage auf: „Wie sicher ist Open-Source-Software wirklich?“ und wie schwerwiegend ein Fehler sein kann, da er sich über Tausende von (kommerziellen) Produkten weltweit verbreitete. Die allgemein verbreitete Überzeugung, dass Open Source implizit sicherer sei, weil sie für jeden einsehbar ist, wurde in Frage gestellt. Vor allem, nachdem bekannt wurde, dass ein Projekt wie OpenSSL lediglich 2.000 Dollar pro Jahr an Spendenerhielt und nureinen Vollzeitmitarbeiter hatte,der über die Hälfte der 450.000 Codezeilen freigab. Wie sollte es da jemals mit kostenpflichtiger Software konkurrieren können?
Tech-Giganten wie Google, Facebook, Microsoft, Amazon und IBM haben diese Frage erkannt. Sie haben ihre Kräfte gebündelt und gemeinsam in dieCore Infrastructure Initiativeinvestiert, ein Projekt derLinux Foundationzur Erhöhung der Sicherheit unterfinanzierter Open-Source-Projekte. Ihre Initiative zielt darauf ab, diese Frage ausdrücklich mitLinus’ Gesetz zu beantworten, einer Aussage zu Ehren des Linux-Gründers Linus Torvalds, die besagt: „Bei genügend Augen sind alle Fehler leicht zu finden.“ Das bedeutet, dassalle Fehler leicht gefunden werden können, wenn das Team groß genug ist.
Abgesehen von OpenSSL wurden auch bei anderen Open-Source-Bibliotheken schwerwiegende Sicherheitslücken entdeckt.Apache,glibcund sogar derLinux-Kernelsind einige Beispiele, die in den letzten Jahren davon nicht verschont geblieben sind. Man könnte daher argumentieren, dass es für ein kommerzielles Unternehmen fragwürdig sein könnte, kostenlose Open-Source-Bibliotheken wiederzuverwenden. Warum nicht eigene entwickeln? Abgesehen von den damit verbundenen Kosten könnte die Antwort ganz einfach lauten: Jeder sollte sich auf das konzentrieren, was er am besten kann. Wenn jedes kommerzielle Softwareunternehmen jeden einzelnen Teil von Grund auf neu programmieren müsste, wäre es sehr wahrscheinlich, dass aufgrund der schieren Unerfahrenheit der Programmierer eine Vielzahl von Fehlern entstehen würde. Indem sich Nischenexperten auf ihre jeweiligen Bibliotheken konzentrieren und diese wiederverwendet werden, profitieren letztendlich alle in vollem Umfang davon. Sich auf andere zu verlassen, hat seinen Preis. Als kommerzielles Unternehmen gibt man control – und damit die Sicherheit seiner Kunden – an andere ab.
Wie alle Branchenriesen muss auch SAP ähnliche Überlegungen anstellen. Der Hinweis (Nr. 2538829) zeigt, wie Sicherheitslücken von Unternehmen übernommen werden und unter dem Deckmantel des kommerziellen Produkts jahrelang unbemerkt bleiben können.
Der beste Weg, diesen Sicherheitsproblemen entgegenzuwirken, besteht darin, Ihre Software stets auf dem neuesten Stand zu halten und alle Patches zu installieren. Dies gilt sowohl für Unternehmen wie SAP als auch für Privatanwender. Im Falle dieses Hinweises wird daher empfohlen, den im Abschnitt „Support-Pakete und Patches“ dieses SAP-Sicherheitshinweises angegebenen IGS-Patch-Level herunterzuladen und zu installieren.
Open-Source-Bibliotheken, die in kommerziellen Produkten verwendet werden, sind für die Aufrechterhaltung der Qualität unerlässlich; es sollte jedoch klar sein, dass es eine Grauzone gibt, in der Vertrauen vorausgesetzt, aber nie erwiesen wird.
Verbleibende Notizenmit hoher Priorität
Abgesehen von der im vorigen Abschnitt behandelten Notiz wurden in diesem Monat folgende Notizenmit hoher Prioritätveröffentlicht:
(#2604541) –Denial-of-Service (DOS) in GWJPO. Hier sehen wir ein weiteres Beispiel dafür, wie eine anfällige Open-Source-Bibliothek eines Drittanbieters letztendlich zu einer Sicherheitslücke in SAP führt. In diesem Fall handelt es sich bei der anfälligen Software umApache CXF, ein Open-Source-Service-Framework, das Entwicklern hilft, Dienste mithilfe von Frontend-Programmier-APIs wie JAX-WS und JAX-RS zu erstellen. GWJPO verwendet ein bestimmtes anfälliges CXF-Servlet, das es einem Angreifer ermöglicht, legitime Benutzer am Zugriff auf einen Dienst zu hindern, indem er den Dienst entweder zum Absturz bringt oder mit Anfragen überflutet.
(#2596535) –Offenlegung von Informationen in SAP BPA BY REDWOOD. SAP® BPA ist eine vonRedwood platform , die von SAP vertrieben, unterstützt und validiert wird. Sie ermöglicht es Kunden, die Prozessautomatisierung in ihrer gesamten SAP-Landschaft zu koordinieren. In BPA wurde eine Sicherheitslücke entdeckt, die es einem Angreifer ermöglichen könnte, auf Informationen zuzugreifen, die eigentlich geschützt sein sollten. Dies zeigt, dass Software von Drittanbietern nicht unbedingt Open Source sein muss, um ein Sicherheitsrisiko darzustellen.
(#2331141) –SQL-Injection-Sicherheitslücke in FI-LOC-FI-RU. Benutzereingaben wurden von dieser Komponente nicht ausreichend geprüft und bereinigt; daher war es Benutzern möglich, unzulässige Daten zu übermitteln und gefährliche SQL-Anweisungen einzuschleusen, wodurch die Backend-Datenbank und ihre sensiblen Inhalte offengelegt wurden.
(#2595262) –Cross-Site-Scripting-Sicherheitslücke (XSS) in der Benutzeroberfläche des SAP CRM WebClient. Es ist nicht ungewöhnlich, dass eine XSS-Sicherheitslücke in der SAP-CRM-WebClient-Benutzeroberfläche gefunden wird. Dieser Hinweis scheint diese Tatsache anzuerkennen, indem er auf zuvor veröffentlichte SAP-Hinweise zu XSS in der CRM-WebClient-Benutzeroberfläche verweist. Der Unterschied besteht darin, dass diese Sicherheitslücke schwerwiegender ist als andere zuvor gemeldete. Die genannten Hinweise müssen als Voraussetzung gepatcht werden.
(#2587369) –Mögliche Offenlegung von Informationen in Trace-Dateien von SAP HANA Capture & Replay. Dieser Hinweis befasst sich mit Anmeldedaten, die im Klartext in den Indexserver-Trace-Dateien eines Systems gespeichert sind, das die optionale Capture & Replay-Funktionalität von SAP HANA nutzt. Ein Angreifer müsste die BerechtigungTRACE_ADMINoderCATALOG READerhalten, um die Indexserver-Trace-Dateien anzuzeigen. Neben der Aktualisierung der Software auf neuere Versionen werden zwei manuelle Workarounds bereitgestellt, um die Bedrohung sofort zu beseitigen.
Fazit
In diesem Monatwurde Gaston Traberg aus unseren Forschungslabors von SAPauf deren Webseite für seinen Beitrag zur kontinuierlichen Verbesserung der SAP-Sicherheitgewürdigt. Wie immer arbeiten wir daran, dieOnapsis Security Platformzu aktualisieren, um diese neu veröffentlichten Sicherheitslücken zu berücksichtigen. Dadurch können unsere Kunden überprüfen, ob ihre Systeme auf dem neuesten Stand der SAP-Sicherheitshinweise sind, und sicherstellen, dass diese Systeme mit dem erforderlichen Sicherheitsniveau konfiguriert sind, um ihre Audit- und Compliance-Anforderungen zu erfüllen.