SAP-Sicherheitshinweise März 2019: Kritischer Fehler, der SAP HANA XSA betrifft
Jeden zweiten Dienstag im Monat veröffentlicht SAP seine monatlichen Sicherheitspatches, besser bekannt als SAP Security Notes, die den Kunden nun über Launchpad oder die Transaktion SNOTE zur Verfügung stehen.Heute hat SAP 15 neue Sicherheitshinweise veröffentlicht, darunter fünf, die von unseren Forschern entdeckt wurden. Es wurden heute keineHotNews-Hinweiseveröffentlicht, aber zweiHinweise mit hoher Prioritätwurden aufgrund von Onapsis Research Labs hervorgehoben. Der SAP Security Note#2764283, der höchste CVSS-Wert des Tages, behebt eine kritische Schwachstelle (XML External Entity) in SAP HANA Extended Application Services Advanced (XSA), ein Fehler, der zu einer kritischen Gefährdung der Vertraulichkeit von Daten führen kann. Der andere Hinweismit hoher Priorität, Nr. 2689925, behebt eine klassische Cross-Site-Scripting-Schwachstelle (XSS) in der SAML 1.1 SSO-Demoanwendung im SAP NetWeaver Java Application Server.
Bevor wir ins Detail gehen, ist es wichtig zu erwähnen, dass SAP in der zweiten Februarhälfte, nach dem Patch Day dieses Monats, den bekanntenHotNews-HinweisNr. 2622660 mit dem Titel„Sicherheitsupdates für das mit dem SAP Business Client ausgelieferte Control “ erneut veröffentlicht hat. SAP hatdiese seit ihrer ersten Veröffentlichung im April 2018 regelmäßig aktualisiertoder immer dann, wenn ein neuer Fehler von Drittanbietern für diese verwendeten Komponenten auftrat. Denken Sie daran, dass wir diese Hinweise nicht außer Acht lassen dürfen, da die Ausnutzung dieser Tools von Drittanbietern größere Auswirkungen haben könnte als sogar spezifische Exploits gegen SAP, die in der Regel gezielter und selektiver sind.
Sicherheitslücke bei externen XML-Entitäten in SAP HANA XSA
Wie bereits erwähnt, ist der Patch mit dem höchsten CVSS-Wert in diesem Monat derjenige, der in der SAP-Sicherheitsmitteilung Nr. 2764283 veröffentlicht wurde. Er trägt den Titel„XML External Entity Vulnerability in SAP HANA Extended Application Services, Advanced“ und weist einen CVSS-Wert v3 von 8,7 von 10 auf.
Dieser Sicherheitsfehler wurde bei Untersuchungen zu SAP HANA XSA entdeckt. Obwohl die Schwachstelle eine Kernel-Komponente betrifft, die in jedem SAP-System vorhanden ist (undim Februar mit dem SAP-Hinweis Nr. 2729710 behoben wurde), fanden Forscher von Onapsis einen Weg, sie in SAP HANA XSA auszunutzen, und meldeten sie daher. In diesem Monat behebt SAP die Schwachstelle ordnungsgemäß und schließt den Angriffspunkt auf dieser platform.
Im ursprünglichen Bericht der Onapsis-Forscher wird erläutert, dass dieser Fehler über eine Administratorschnittstelle des XSA-Controllers ausgenutzt werden konnte, die es einem Benutzer ermöglicht, eine XML-Datei zu senden. Dies führte zu kritischen Szenarien, diedie Vertraulichkeit(Abruf beliebiger Dateien vom Server) unddie Verfügbarkeit(Denial-of-Service-Zustände [DoS] bei erfolgreichen Angriffen) beeinträchtigten. Dieser spezifische Einstiegspunkt, der in XSA vorhanden ist und von unseren Forschern als Möglichkeit zur Ausnutzung der Schwachstelle entdeckt wurde, wird normalerweise dazu verwendet, technische Spezifikationen aus dem registrierten SAP-System an das SOLMAN-Inventar zu senden, wie z. B. CPU-Auslastung, installierte Softwarekomponenten usw. Durch Ausnutzung dieser Schwachstelle wäre ein Angreifer in der Lage, eine speziell gestaltete XML-Nutzlast zu senden. Obwohl dieser Endpunkt die Anmeldedaten des Benutzers „lm_service“ benötigt, kann ein Benutzer mit Zugriff darauf diesen Dienst nutzen.
Die Verfügbarkeit ist beeinträchtigt, da dieXML-External-Entity-Sicherheitslücke (XXE)im Allgemeinen eine sogenannte„XML-Entity-Bombe“ enthält. Bei diesem Angriff handelt es sich um einen syntaktisch gültigen und korrekten XML-Code, der Einträge zu Referenzen speichern kann, die wiederum auf andere Referenzen verweisen (wodurch eine Schleife entsteht),wodurch verschachtelte Datenentitätenexponentiell anwachsen und zu einem DoS führen können.
Dieser Fehler, der von den Onapsis-ForschernPablo Artusound Nahuel D. Sanchez entdeckt wurde, ist Teil ihres Vortrags, den sie nächste Woche in Deutschland auf der bevorstehendenTroopers Conference halten werden. In ihrem Vortrag mit dem Titel„Dark Clouds Ahead: Attacking a Cloud Implementation“ werden sie aufzeigen, wie Angreifer durch die Kombination mehrerer Schwachstellen in SAP HANA – selbst solcher, die nicht als„HotNews“ gekennzeichnet sind – kritischen Zugriff auf das System erlangen können.
Von Onapsis gemeldete Sicherheitslücken wurden im NetWeaver-Kernel, in SAP Java Server NetWeaver, in SAP BusinessObjects sowie in SAP Work Manager und SAP Inventory behoben
In diesem Monat gibt es einen zweiten Patch mit der Einstufung„Hohe Priorität“, der ebenfalls von einem unserer Forscher gemeldet wurde. Der SAP-Sicherheitshinweis Nr. 2689925behebt einen Fehler in der SAML 1.1 SSO-Demoanwendung im SAP NetWeaver Java Application Server – die nicht ordnungsgemäße Kodierung benutzergesteuerter Eingaben führt zu einer Cross-Site-Scripting-Schwachstelle (XSS). Bei erfolgreicher Ausnutzung gehören vorübergehende Verfälschungen oder der Diebstahl von Authentifizierungsdaten zu den möglichen Auswirkungen dieser Schwachstelle.
Andererseits wurde der SAP-Sicherheitshinweis Nr. 2729710, den wir imBlogbeitrag des letzten Monats behandelt haben, erneut veröffentlicht – mit einem niedrigeren CVSS-Wert als ursprünglich angegeben. Der Hinweis mit dem Titel„XML External Entity (XXE) Vulnerability in SLD Registration of ABAP Platform wurde ursprünglich als Hinweismit hoher Prioritätund einem CVSS-Score v3 von 8,6/10 veröffentlicht und wurde nun auf einen Hinweismit mittlerer Prioritätund einem CVSS-Score v3 von 6,0/10 herabgestuft. Dies liegt daran, dass der Angriffsvektor auf „lokal“ reduziert wurde, da der von unserem Team als Proof-of-Concept vorgestellte Remote-Angriff nur SAP HANA XSA betraf (siehe vorheriger Abschnitt). Auch wenn es möglich sein könnte, die Schwachstelle auszunutzen, gibt es keine Beweise dafür, und SAP hat diesen Wert zu Recht herabgestuft. Basierend auf unseren Erkenntnissen in SAP HANA XSA kann die Schwachstelle jedoch weiterhin kritisch sein, und wir empfehlen, sie so schnell wie möglich zu beheben. SAP erklärte in seiner neuen Veröffentlichung zudem: „Von Kundenseite sind keine Maßnahmen erforderlich, wenn die Note bereits implementiert ist.“
As you may already know, the Onapsis Research Labs has been putting special focus on the SAP BusinessObjects platform for many months. As a result of our continuous efforts on this platform, we reported another security bug that leads to this month’s Medium Priority publication that fixes a vulnerability in the XML parser of SAP BusinessObjects. SAP Security Note #2689259, titled SAP BusinessObjects: Improper Restriction of XML External Entity Reference, fixes a vulnerability in Central Management Console (CMC), which is included over the Business Intelligence (BI) platform. This vulnerability exists when an XML parser resolves External Entities during XML analysis, without restrictions on accessed resources. By abusing this vulnerability, an attacker would be able to read system files, list directories content or perform a DoS from a remote system. Basically, everything with the privileges of the operating system user called <sid>adm.
Der zweite von den Onapsis Research Labs gemeldete Hinweismit mittlerer Priorität Onapsis Research Labs #2753497) behebt eine DoS-Sicherheitslücke in zwei mobilen Apps:SAP Work Manager und SAP Inventory Manager, die inunserem vorherigen Blogbeitrag ausführlich behandelt wurden. Diese Apps enthalten eine anfällige Methode, die die Eingaben nicht ordnungsgemäß überprüft und zum Absturz der Apps führen kann. Um diesen Fehler zu beheben, müssen Kunden ein Upgrade aufSAP Mobile Platform 3.1oder höher durchführen. Zu guter Letzt sei noch erwähnt, dass iOS- und Windows-Desktops nicht betroffen sind.
Nachfolgend finden Sie eine Übersicht über die Arten von Sicherheitslücken, die in diesem Monat behoben wurden, darunter nicht nur 15 SAP-Sicherheitshinweise, sondern auch die beiden weiteren, die später im Februar nach dem Patch Day veröffentlicht wurden.
Wie Sie derDanksagung von SAP an die Sicherheitsforscher entnehmen können, ist Onapsis das einzige Unternehmen, das mit mehreren Forschern auf dieser Seite vertreten ist.Vier unserer Teammitglieder wurden diesen Monat für ihre Erkenntnisse und Berichte gewürdigt. Wie immer arbeiten wir daran, dieOnapsis Security Platformzu aktualisieren, um diese neu veröffentlichten Schwachstellen zu integrieren, damit unsere Kunden überprüfen können, ob ihre Systeme auf dem neuesten Stand der SAP-Sicherheitshinweise sind.Folgen Sie uns auf Twitter, um weiterhin über ERP-Sicherheitsnachrichten auf dem Laufenden zu bleiben, undlesen Sie auch weiterhinunseren ERP-Sicherheitsblog.