SAP-Sicherheitshinweise März 2017: Onapsis hilft bei der Behebung kritischer Fehler in SAP HANA

Von:

14. März 2017

Wie jeden zweiten Dienstag im Monat veröffentlicht SAP heute seine monatlichen Sicherheitshinweise. Von den 27 heute veröffentlichten SAP-Sicherheitshinweisen beziehen sich 5 aufSAP HANA und wurden ursprünglich von Onapsis Research Labsgemeldet. Einer davon, der Hinweis Nr. 2424173, ist der einzige SAP-Sicherheitshinweis, der diesen Monat als „Hot News“ gekennzeichnet ist, da er mehrere Schwachstellen in der Self-Service-Komponente (standardmäßig deaktiviert) behebt, die es einem Angreifer ermöglichen könnten, das SAP-HANA-System ohne Zugangsdaten vollständig zu kompromittieren. Ein weiterer als „High Priority“ gekennzeichneter Sicherheitshinweis ist Hinweis Nr. 2429069. Dabei handelt es sich um den ersten Patch, der für die kürzlich veröffentlichte Version dieser platform, SAP HANA 2.0, veröffentlicht wurde. In diesem Fall sind Standardinstallationen betroffen, und ein Angreifer kann bei Ausnutzung der Schwachstelle seine Berechtigungen erweitern.

Die Onapsis Research Labs seit mehreren Jahren mitder Sicherheit von SAP HANAund haben mehrfach zur Verbesserung der Sicherheit dieses Produkts beigetragen. Insgesamt hat unser Team 39 SAP-Sicherheitshinweise für HANA gemeldet (das entspricht 65 % der bisher insgesamt 60 gemeldeten Hinweise).

In diesem Monat haben unsere Forscher Martin Doyhenard und Nahuel Sanchez die beiden zuvor erwähnten kritischen Sicherheitslücken entdeckt. Im Folgenden werden wir diese Schwachstellen näher betrachten, um ein besseres Verständnis für den Umfang und die Auswirkungen der einzelnen Schwachstellen zu vermitteln.

Aktuelles: Sicherheitslücken in den User-Self-Service-Tools von SAP HANA

Das Self-Service-Tool für SAP HANA ermöglicht es Benutzern, einige zusätzliche Funktionen zu aktivieren, wie beispielsweise die Passwortänderung, das Zurücksetzen eines vergessenen Passworts oder die Selbstregistrierung von Benutzern. Mehrere in dieser Komponente gefundene Schwachstellen, die mit einem CVSS v3-Basiswert von 9,80 bewertet wurden, sind der Grund für diese besondere „Hot News“ des Monats.

Durch die erfolgreiche Ausnutzung dieser Schwachstellen wäre ein nicht authentifizierter Angreifer in der Lage, sich als andere Benutzer auszugeben, selbst als solche mit Konten mit hohen Berechtigungen. Im Falle einer Ausnutzung würden diese Schwachstellen es einem Angreifer – sei er innerhalb oder außerhalb der Organisation – ermöglichen, platform control vollständige control die platform zu erlangen, ohne dass ein Benutzername und ein Passwort erforderlich wären.

Ein solcher Zugriff würde es einem Angreifer ermöglichen, beliebige Aktionen in Bezug auf die von HANA unterstützten Geschäftsdaten und -prozesse durchzuführen, darunter das Erstellen, Entwenden, Verändern und/oder Löschen vertraulicher Informationen. Wird dieses Risiko ausgenutzt, kann dies für Unternehmen schwerwiegende geschäftliche Folgen haben.

Berechtigte SAP-HANA-Benutzer können ihre Berechtigungen erweitern, um Zugriff auf die höchsten Benutzerrechte der Datenbank zu erhalten.

Nachdem wir diesen Fehler in der gerade veröffentlichten Version SAP HANA 2 entdeckt hatten, stellten wir fest, dass auch ältere Versionen betroffen waren, darunter SAP HANA SPS 09 aus dem Jahr 2014 sowie alle nachfolgenden Versionen.

Es ist von großer Bedeutung, dass diese Komponente auf dieser platform standardmäßig nicht aktiviert ist. Sollte die Installation des Notes langfristig nicht möglich sein, empfehlen wir den Benutzern daher dringend, den User Self Service zu deaktivieren oder Netzwerkfilter einzurichten.Weitere Informationen finden Sieauf unserer speziellen Website zurSAP-HANA-Self-Service-Sicherheitslücke.

SAP HANA 2: Sicherheitslücke durch Session Fixation

Wie bereits erwähnt, hat SAP im vergangenen November HANA 2 veröffentlicht. Derzeit befinden sich mehrere Unternehmen mitten in der Migration auf die neue Version oder erwägen einen solchen Schritt. Unser Team hat es sich stets zur Aufgabe gemacht, Unternehmen dabei zu unterstützen, sich vor solchen Sicherheitslücken zu schützen, und hat daher seit der Veröffentlichung dieser Version entsprechende Untersuchungen durchgeführt. Entsprechend haben wir unsere Erkenntnisse an SAP weitergeleitet, damit das Unternehmen einen Patch bereitstellen kann, der die Nutzer umfassend vor den Auswirkungen dieser Sicherheitslücke schützt.

Dieser spezielle Fehler wurde mit einem CVSS-Wert von 8,8 (hoch) bewertet. Durch ein Update der Komponente können Nutzer einen Angriff verhindern, bei dem ein Angreifer durch das Auftreten als anderer Benutzer im System seine Berechtigungen erweitern könnte.

Wie bereits erwähnt, ist nur SAP HANA 2.0 SPS 00 Revision 000 betroffen. Wenn Sie also auf diese neue Version umsteigen, stellen Sie sicher, dass diese ordnungsgemäß aktualisiert wurde, um dieses Risiko zu vermeiden.

Wie bereits bei früheren Versionen von SAP HANA, beispielsweise SPS12, handelt es sich hierbei um den ersten Fehler, der für eine neue HANA-Version behoben wurde, und er wurde zudem von unserem Team gemeldet.

Beiträge von Onapsis

In diesem Monat Onapsis Research Labs die Beiträge der Onapsis Research Labs einen enormen Beitrag zur SAP-Sicherheit geleistet, nicht nur aufgrund der Schwere dieser neu behobenen Sicherheitslücken, sondern auch aufgrund von fünf weiteren Sicherheitshinweisen, die auf der Grundlage der Erkenntnisse unserer Forscher veröffentlicht wurden. Damit beläuft sich die Gesamtzahl der von Onapsis Research Labs veröffentlichten Hinweise auf sieben Onapsis Research Labs 26 % der heute am März-Patch-Day veröffentlichten Hinweise). Dabei handelt es sich um folgende:

  • Zwei SQL-Injection-Sicherheitslücken für SAP HANA in den SAP-Sicherheitshinweisen Nr. 2426260und Nr. 2428811. Beide betreffen SAP HANA 1 SPS12 und HANA 2 SPS 00. Beide Berichte weisen einen CVSSv3-Basiswert von 2,7 auf.
  • Eine Sicherheitslücke im SAP HANA Cockpit für die Offline-Verwaltung(Nr. 2424120), die es einem authentifizierten Benutzer ermöglicht, auf Informationen zuzugreifen, auf die ohne entsprechende Berechtigungen kein Zugriff gewährt werden sollte (CVSSv3-Basiswert: 4,9).
  • Zwei weitere Sicherheitslücken bei der Berechtigungsprüfung in SAP für Verteidigungsprodukte:#2381388und#2378999(CVSSv3-Basiswert: 6,3). SAP hat platform den letzten drei Monaten Patches für die von Onapsis gemeldeten Sicherheitslücken dieser platform bereitgestellt.

Alle unsere Forscher, die an diesen sieben SAP-Sicherheitshinweisen mitgewirkt haben, wurden aufder SAP-Webseiteim Rahmen der Sicherheitsverbesserungen dieses Monats gewürdigt und namentlich genannt.

Zusammenfassung der Notizen vom März

Wie bereits erwähnt, wurden heute 27 SAP-Sicherheitshinweise veröffentlicht; seit dem letzten Patch Tuesday sind es insgesamt 30, darunter einige, die Ende Februar und Anfang März erschienen sind. Insgesamt gibt es sieben Sicherheitshinweise mit hoher Priorität, darunter zwei Denial-of-Service-Angriffe in der SAP NetWeaver Dynpro Engine und im Visual Composer sowie eine Sicherheitslücke zur Remote-Code-Ausführung in SAP GUI for Windows. Letzterer enthält manuelle Schritte zur Behebung, sodass es sich aufgrund seiner Kritikalität lohnt, ihn zu lesen.

SAP hat zudem die Nutzer der SAP HANA Express Edition darauf hingewiesen, dass auch sie auf die neueste Version aktualisieren sollten.

Wie jeden Monat sind wir bereits dabei, unser Produkt, die Onapsis Security Platform , zu aktualisieren, Platform diese neu veröffentlichten Sicherheitslücken Platform berücksichtigen. So können Sie überprüfen, ob Ihre Systeme auf dem neuesten Stand der aktuellen SAP-Sicherheitshinweise sind, und sicherstellen, dass diese SAP-Systeme mit dem erforderlichen Sicherheitsniveau konfiguriert sind, um Ihre Audit- und Compliance-Anforderungen zu erfüllen.

Was die „Self Service“-Sicherheitslücke betrifft, haben wir in unserem Produkt eine Advanced Threat Protection (ATP)-Lösung für diese Schwachstelle veröffentlicht, um unseren Kunden Möglichkeiten zur frühzeitigen Erkennung zu bieten.

Sollten Sie weitere Fragen haben, denken Sie daran, dass Sie unserespezielle Website zu SAP-HANA-Self-Service-Sicherheitslückenaufrufen und ein Gespräch mit einem unserer Experten anfordern können, um zu prüfen, ob Ihre SAP-HANA-Infrastruktur anfällig ist.

Stichworte, , ,
Über den Autor

Thomas Fritsch

Als führender SAP-Sicherheitsforscher bei Onapsis gilt Thomas Fritsch als anerkannte Autorität in den Bereichen vulnerability management und neue Bedrohungen. Aufgrund seiner langjährigen Erfahrung als SAP-Experte konzentriert er sich auf hochtechnische Bereiche wie die Konfiguration von SAP-Systemen und das Transportmanagement. Thomas’ Analysen der neuesten SAP-Sicherheitspatches und -Schwachstellen sind ein zentraler Bestandteil der Forschungsarbeit, die Unternehmen die fundierten und umsetzbaren Erkenntnisse liefert, die sie zum Schutz ihrer Systeme benötigen. Seine Rolle als angesehener Redner und Autor festigt seinen Ruf als maßgebliche Stimme im Bereich der SAP-Cybersicherheit und trägt dazu bei, die Lücke zwischen komplexer Forschung und praktischen Sicherheitsmaßnahmen in der realen Welt zu schließen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen