SAP-Sicherheitshinweise März 2020: Zwei kritische Patches zum Schutz des Solution Managers vor Cyberangriffen veröffentlicht

Von:

10. März 2020

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom März gehören:

  • HotNews-Hinweis—Fehlende Authentifizierung im Solution Manager
  • Onapsis Research Labs der führende Mitwirkende—Hat Schwachstellen mit einem CVSS-Wert von 10 und 9,8 entdeckt und zu deren Behebung beigetragen
  • Ein arbeitsreicher Monat für alle SAP-Kunden— In diesem Monat wurden 4 HotNews-Hinweise und 5 Hinweise mit hoher Priorität veröffentlicht

Es ist der zweite Dienstag im Monat, und das bedeutet: Patch-Tag für alle, die im Bereich Cybersicherheit tätig sind und SAP-Kunden sind. Heute sollten Sie besonders aufmerksam sein, da SAP mehrere kritische Patches veröffentlicht hat, darunter zwei kritische Patches für den SAP Solution Manager (SolMan), die beide von den Onapsis Research Labs entdeckt und gemeldet wurden. 

In beiden Fällen könnte eine erfolgreiche Ausnutzung dieser Schwachstellen es einem nicht authentifizierten Angreifer aus der Ferne ermöglichen, Aufgaben mit hohen Administratorrechten auf den verbundenen SAP-SMD-Agenten auszuführen, wodurch die Vertraulichkeit, Integrität und Verfügbarkeit aller Systeme einem hohen Risiko ausgesetzt würden. Zudem könnte die kritischste Schwachstelle mit einem CVSS-Wert von 10,0 (dem höchstmöglichen Wert) es einem Angreifer ermöglichen, durch die Verknüpfung dieses Angriffs mit anderen Schwachstellen Zugriff auf die gesamte SAP-Landschaft zu erlangen. Aus diesem Grund weist diese Schwachstelle einen CVSS-Wert von 10 auf, im Vergleich zu 9,8 bei der anderen kritischen Schwachstelle (der Umfang wird im CVSS-Vektor als „verändert“ statt als „unverändert“ angegeben).

Mit zwei weiteren kritischen Veröffentlichungen gibt es insgesamt vier SAP-Sicherheitshinweise, die als „HotNews“ gekennzeichnet sind – alle mit einem CVSS-Wert über 9,0 – sowie fünf Hinweise mit hoher Priorität (CVSS über 7,0). Das bedeutet, dass neun der 22 in diesem Monat veröffentlichten Hinweise ein erhebliches Risiko darstellen, wenn sie nicht umgesetzt werden. Zusammenfassend lässt sich also sagen, dass in diesem Monat:

  1. Die meisten Veröffentlichungen in diesem Jahr (22), 
  2. Die Notizen mit der höchsten Priorität (5) in diesem Jahr,
  3. Die beliebtesten HotNews ( 4) dieses Jahres,
  4. Zwei kritische Sicherheitslücken in Solution Manager, die von nicht authentifizierten Angreifern ausgenutzt werden können, und
  5. Der erste SAP-Sicherheitshinweis mit einem CVSS-Wert von 10,0, seit SAP den CVSS-v3-Wert in den Hinweisen angibt. 

Angesichts der Vielzahl kritischer Sicherheitslücken sollte der Patch-Prozess in diesem Monat mit erhöhter Priorität behandelt werden, um den Schutz der SAP-Systeme zu gewährleisten. Sehen wir uns nun einige weitere Details zu den kritischsten Sicherheitslücken dieses Monats an.

Fehlende Authentifizierung im SAP Solution Manager ermöglicht potenziellen Control verbundene SAP-Systeme

Heute hat SAP eine der kritischsten Sicherheitslücken der jüngeren Vergangenheit behoben – und zweifellos die kritischste in diesem Jahr. Der SAP-Sicherheitshinweis Nr. 2890213 mit dem Titel „Fehlende Authentifizierungsprüfung in SAP SolMan (User-Experience Monitoring)“ behebt einen kritischen Fehler, der von Forschern von Onapsis (Pablo Artuso und Yvan Genuer) gemeldet wurde. Diese Schwachstelle wurde mit CVSS 10.0 bewertet, dem höchsten Wert für diesen Standard, da ihr Angriffsvektor unter anderem eine geringe Angriffskomplexität (AC), keine erforderlichen Berechtigungen (PR), einen veränderten Umfang (S) sowie hohe Auswirkungen auf Vertraulichkeit (C), Integrität (I) und Verfügbarkeit (A) umfasst.

Der Zweck von SolMan besteht darin, die Verwaltung aller SAP- und Nicht-SAP-Systeme innerhalb einer Landschaft zu zentralisieren. Als Verwaltungslösung führt es Aufgaben wie die Implementierung, den Support, die Überwachung und die Wartung der SAP-Lösungen des Unternehmens durch. Alle mit SolMan verbundenen Systeme werden auch als Satellitensysteme bezeichnet. Wenn ein SAP-Kunde die Funktionen von SolMan voll ausschöpfen möchte, muss er auf jedem Host, auf dem ein SAP-System läuft, eine Anwendung namens Solution Manager Diagnostic Agent (SMDAgent) installieren. Dieser Agent verwaltet die Kommunikation, die Instanzüberwachung und das Diagnosefeedback an SolMan. Das Onapsis-Forschungsteam stellte fest, dass in Standardkonfigurationen ein nicht authentifizierter Angreifer aus der Ferne in der Lage sein könnte, Betriebssystembefehle als SMDAgent-OS-Benutzer auf jedem Satellitensystem auszuführen und vollständige Berechtigungen auf den zugehörigen SAP-Systemen zu erlangen. 

Um dieses Problem zu beheben, sollten Kunden die in der SAP-Sicherheitsmitteilung erwähnte Softwarekomponente LM-SERVICE installieren. Für Unternehmen, bei denen der Patch-Prozess für eine kritische Sicherheitslücke zu lange dauern könnte, bietet SAP eine Teilkorrektur an, die manuell im System implementiert werden kann. Es wird stets empfohlen, die vollständige Korrektur über die Installation der Komponente bereitzustellen.

SAP schließt die Behebung kritischer Sicherheitslücken im SMDAgent ab

Der SAP-Sicherheitshinweis Nr. 2845377 mit dem Titel „Fehlende Authentifizierungsprüfung im SAP Solution Manager (Diagnostics Agent)“ ist der neueste Patch einer Reihe verwandter Sicherheitslücken, dievom Onapsis-Forscher Yvan Genuer gemeldet wurden und für die SAP seit Juli2019 Patches bereitstellt. Dieser neueste Patch behebt die kritischste Sicherheitslücke der Reihe. Wie bereits erläutert, konnte ein SolMan-Administrator bei den zuerst behobenen Sicherheitslücken Betriebssystembefehle ausführen und control vollständige control ein SAP-System erlangen, indem er den SMDAgent-Benutzer kompromittierte, was den Zugriff auf sensible Informationen (wie Anmeldedaten und kritische Geschäftsinformationen), die Änderung von Anwendungskonfigurationen oder sogar das Beenden von SAP-Diensten ermöglichte“. Diese Sicherheitslücken wurden mit den SAP-Sicherheitshinweisen Nr. 2808158und Nr. 2823733 behoben. 

Durch Ausnutzung der heute behobenen Sicherheitslücke kann ein Angreifer die Authentifizierung umgehen. Das bedeutet, dass der Angriff von jeder Person mit Netzwerkzugang ausgeführt werden kann, ohne dass ein gültiger Benutzer im SolMan-System erforderlich ist. Aufgrund dessen und der Tatsache, dass SMDAgent in jeder SAP-Installation vorhanden ist, sind die Auswirkungen und die Schwere dieser Sicherheitslücke deutlich höher. Der CVSS-Wert liegt nun bei 9,8, da die im CVSS-Vektor erforderlichen Berechtigungen nun „Keine“ sind, im Gegensatz zu „Hoch“ bei den vorherigen Sicherheitslücken.

SMDAgent ist eine technische Komponente, die nicht direkt mit geschäftskritischen Daten umgeht. Diese Sicherheitslücke ermöglicht es einem Angreifer jedoch, kritische Aktionen durchzuführen, wie beispielsweise das System zum Stillstand zu bringen (Verfügbarkeit), das Verhalten der Anwendung zu verändern (Integrität) oder auf sensible Informationen zuzugreifen. Wie bei dem oben erläuterten anderen kritischen Hinweis sollte auch hier eine aktualisierte Version der Softwarekomponente LM-SERVICE installiert werden, um diese Sicherheitslücke zu schließen. Weitere Informationen finden Sie im SAP-Sicherheitshinweis.

Weitere wichtige SAP-Sicherheitshinweise im März

Zusätzlich zu den beiden SAP-Sicherheits-HotNews-Hinweisen , Onapsis Research Labs dank der Onapsis Research Labs entdeckt und behoben wurden und Onapsis Research Labs soeben erläutert wurden, hat SAP zwei weitere HotNews-Hinweise sowie fünf Hinweise mit hoher Priorität veröffentlicht:

Der HotNews-Eintrag Nr. 2806198 mit dem Titel „Path Manipulation in SAP NetWeaver UDDI Server (Services Registry)“ und einem CVSS-Wert von 9,1 beschreibt eine schwerwiegende Directory-Traversal-Sicherheitslücke im SAP NW UDDI Server. Die Sicherheitslücke wird durch eine fehlerhafte Validierung des Pfads verursacht, den ein Benutzer beim Importieren von UDDI-Inhalten über die Services Registry angibt.

Der regelmäßig erscheinende HotNews-Hinweis Nr. 2622660enthält einen neuen Patch für den SAP Business Client, der die neue Chromium-Version 80.0.3987.122 umfasst. Diese Version behebt 56 Sicherheitsprobleme, von denen 10 als „hoch“ eingestuft wurden. Wie im Onapsis-Blogbeitrag vom Februar erläutert, unterstützt der SAP Business Client nun eine Chromium-Version mit strengeren Cookie-Richtlinien, was zu einem vollständigen oder teilweisen Ausfall einiger SAP-Webanwendungen führen kann.

Die beiden Sicherheitshinweise mit hoher Priorität und den höchsten CVSS-Werten betreffen SAP Business Objects.

Der Sicherheitshinweis Nr. 2861301 mit einem CVSS-Wert von 8,1 behebt eine Sicherheitslücke, die es einem Angreifer ermöglicht, aus der Ferne Code auf dem SAP Business Object Server auszuführen. Mögliche Ausnutzungsmöglichkeiten reichen von der unbefugten Ausführung beliebiger Befehle bis hin zum vollständigen Absturz der Anwendung. Nur die Tatsache, dass der Angreifer platform eine schädliche Datei auf die platform hochladen muss und einen anderen Benutzer dazu bringen muss, diese Datei zu öffnen, verhindert, dass das Problem mit einem noch höheren CVSS-Wert bewertet wird.   

Der SAP-Sicherheitshinweis Nr. 2826782, der mit einem CVSS-Wert von 7,5 bewertet wurde, behebt eine Sicherheitslücke in SAP Business Objects Mobile, die von den Onapsis Research Labs entdeckt wurde. Ein nicht authentifizierter Angreifer könnte mithilfe einer speziell gestalteten Nutzlast Anfragen an bestimmte Endpunkte senden. Diese Anfragen können bei den betroffenen Komponenten zu einem Denial-of-Service führen und somit legitime Benutzer am Zugriff auf die Anwendung hindern. 

Es gibt einen weiteren Sicherheitshinweis (Nr. 2858044) mit dem Titel „Fehlende Autorisierungsprüfung im SAP Disclosure Management“, der ebenfalls mit einem CVSS-Wert von 7,5 bewertet wurde. Dieser Wert basiert auf den erheblichen Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. SAP stuft die Angriffskomplexität hier als „hoch“ ein, wodurch verhindert wird, dass die Schwachstelle zu einem HotNews-Hinweis wird. 

Die beiden verbleibenden High Notes betreffen SAP Environment Health and Safety sowie SAP MaxDB/liveCache. Während die erste, Nr. 1966029, eine Directory-Traversal-Sicherheitslücke behebt, die es einem Angreifer ermöglicht, beliebige Dateien auf dem Remote-Server zu lesen und/oder zu überschreiben, handelt es sich bei der zweiten, Nr. 2660005, um eine Note, die bereits Ende Februar aktualisiert wurde. Dieser Hinweis behebt eine SQL-Injection-Sicherheitslücke, die Angreifern mit DBM-Operatorrechten zugänglich ist. 

Zusammenfassung und Schlussfolgerungen

SAP hat an diesem Patch Tuesday mehrere kritische Sicherheitslücken behoben, und Kunden müssen schnell handeln, um ihre geschäftskritischen Anwendungen zu schützen. Wir bei den Onapsis Research Labs stolz darauf, das Product Security Response Team von SAP dabei unterstützt zu haben, diese Risiken proaktiv zu identifizieren und zu mindern, um sicherzustellen, dass alle SAP-Kunden besser vor Bedrohungen durch Insider und Außenstehende geschützt sind.

SAP-Sicherheitshinweise März 2020

Wie immer Onapsis Research Labs bereits Onapsis Research Labs ,die Platform zu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.

Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest Onapsis“-Newsletter.

Stichwörter, , , ,
Über den Autor

Thomas Fritsch

Als führender SAP-Sicherheitsforscher bei Onapsis gilt Thomas Fritsch als anerkannte Autorität in den Bereichen vulnerability management und neue Bedrohungen. Aufgrund seiner langjährigen Erfahrung als SAP-Experte konzentriert er sich auf hochtechnische Bereiche wie die Konfiguration von SAP-Systemen und das Transportmanagement. Thomas’ Analysen der neuesten SAP-Sicherheitspatches und -Schwachstellen sind ein zentraler Bestandteil der Forschungsarbeit, die Unternehmen die fundierten und umsetzbaren Erkenntnisse liefert, die sie zum Schutz ihrer Systeme benötigen. Seine Rolle als angesehener Redner und Autor festigt seinen Ruf als maßgebliche Stimme im Bereich der SAP-Cybersicherheit und trägt dazu bei, die Lücke zwischen komplexer Forschung und praktischen Sicherheitsmaßnahmen in der realen Welt zu schließen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen