SAP Security Patch Day März 2021: Kritischer Patch für SAP MII und SAP NetWeaver AS Java veröffentlicht

Von:

9. März 2021

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom März gehören:

  • Zusammenfassung für März– 18 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter vier HotNews -Meldungen und eine Meldung mit hoher Priorität
  • Schwerwiegende Sicherheitslücke in SAP MII– die Onapsis Research Labs zur Behebung der kritischsten Sicherheitslücke Onapsis Research Labs , gemessen am CVSS-Score
  • SAP behebt weiterhin Sicherheitslücken im Zusammenhang mit Reverse Tabnabbing– die Einführung neuer Eigenschaften gewährleistet Schutz als Standard

SAP hat im Rahmen seines Patch-Releases vom März 2021 18 neue und aktualisierte SAP-Sicherheitshinweise veröffentlicht, darunter auch die Hinweise, die seit dem letzten Patch-Tag erschienen sind. Das Patch-Release dieses Monats umfasst vier „HotNews“-Hinweise und einen Hinweis mit hoher Priorität.

Glücklicherweise sind die beiden HotNews -Meldungen, die mit einem CVSS-Wert von 10,0 versehen sind, nicht so kritisch, wie sie zunächst erscheinen mögen:

Der HotNews-Hinweis Nr. 2890213 mit dem Titel „Fehlende Authentifizierungsprüfung im SAP Solution Manager“ enthält lediglich eine geringfügige textliche Aktualisierung der möglichen Symptome der Sicherheitslücke. Der Hinweis wurde ursprünglich im März 2020 veröffentlicht. Die letzte wesentliche Aktualisierung dieses Hinweises erfolgte im November 2020 und umfasste die Unterstützung für einen weiteren Support-Paket-Stand der betroffenen Anwendung.

Wie bereits in unserem Blogbeitrag vom Februar vermutet, hat SAP schnell auf die Chromium-Zero-Day-Sicherheitslücke CVE-2021-21148 reagiert, die laut Google bereits in realen Angriffen ausgenutzt wurde. Daher enthält der neue SAP Business Client-Patch, der mit dem SAP Security Note#2622660 veröffentlicht wurde, nun die Chromium-Version 88.0.4324.150. Im Vergleich zur zuletzt unterstützten Chromium-Version (87.0.4280.66) behebt diese neue Version insgesamt 67 Sicherheitsprobleme, von denen zwei von Google als kritisch eingestuft wurden (CVE-2021-21117 und CVE-2021-21142). Der höchste CVSS-Wert aller neu behobenen Schwachstellen liegt bei 9,6.

Im Fokus: SAP Manufacturing Intelligence and Integrations (SAP MII)

Die Onapsis Research Labs zur Behebung der kritischsten Sicherheitslücke dieses Patch-Tages Onapsis Research Labs (basierend auf dem CVSS-Score und unter Berücksichtigung der Informationen aus dem vorangegangenen Abschnitt). Der SAP-Sicherheitshinweis Nr. 3022622, der mit einem CVSS-Score von 9,9 versehen ist, behebt eine sehr kritische Code-Injection-Sicherheitslücke in SAP Manufacturing Intelligence and Integrations (SAP MII). SAP MII oder xMII (sein früherer Name) ist eine auf SAP NetWeaver AS Java basierende platform eine Echtzeit-Produktionsüberwachung ermöglicht und umfangreiche Datenanalyse-Tools bereitstellt. Sie fungiert als Datenhub zwischen SAP ERP und operativen Anwendungen wie Manufacturing Execution Systems (MES). Die Software sammelt Daten von Produktionsmaschinen und liefert Echtzeit-Einblicke in deren Leistung und Effizienz.

Ein wesentlicher Bestandteil von SAP MII ist die Self-Service Composition Environment (SSCE), mit der Dashboards per einfachem Drag-and-Drop gestaltet werden können. Die SSCE ermöglicht es Benutzern, ein Dashboard als JSP-Datei zu speichern. Ein Angreifer kann eine Anfrage an den Server abfangen, bösartigen JSP-Code in die Anfrage einschleusen und diese an den Server weiterleiten. Wenn ein solches infiziertes Dashboard in der Produktionsumgebung von einem Benutzer mit minimalen Berechtigungen geöffnet wird, wird der bösartige Inhalt ausgeführt, was zu einer Remote-Code-Ausführung auf dem Server führt. Mögliche Aktionen sind:

  • Zugriff auf die SAP-Datenbanken sowie das Lesen, Ändern und Löschen beliebiger Datensätze in beliebigen Tabellen
  • Verwenden Sie diese Server, um zu anderen Servern zu wechseln
  • Malware platzieren, um Endnutzer später zu infizieren
  • Netzwerkkonfigurationen ändern und dadurch möglicherweise interne Netzwerke beeinträchtigen

Angesichts der Vielzahl möglicher Auswirkungen empfiehlt Onapsis dringend, den entsprechenden Patch so schnell wie möglich zu installieren. Der Patch verhindert, dass Dashboards als JSP-Dateien gespeichert werden. Leider gibt es keine flexiblere Lösung. Falls JSP-Dateien benötigt werden, sollten Kunden den Zugriff auf die SSCE so weit wie möglich einschränken und alle JSP-Inhalte manuell überprüfen, bevor sie in die Produktion übernommen werden.

Für Onapsis-Kunden, die das Defend der Platform Version 2.2021.22) nutzen, steht bereits eine Erkennungsfunktion zur Verfügung, die kontinuierlich auf böswillige Aktivitäten überwacht und Alarme auslöst, um potenzielle Angriffe zu verhindern, die die SAP-MII-Sicherheitslücke ausnutzen.

Weitere wichtige SAP-Sicherheitshinweise im März

Der SAP HotNews-Sicherheitshinweis Nr. 3022422, der mit einem CVSS-Score von 9,6 versehen ist, behebt eine fehlende Berechtigungsprüfung im Migrationsdienst von SAP NetWeaver AS Java. Dieser Dienst wird intern vom Migrations-Framework für die Migration von Anwendungen zwischen Hauptversionen der J2EE-Engine genutzt. Die fehlende Berechtigungsprüfung könnte es einem unbefugten Angreifer ermöglichen, Administratorrechte zu erlangen. Dies könnte zu einer vollständigen Gefährdung der Vertraulichkeit, Integrität und Verfügbarkeit des Systems führen.
 
Da die Installation des der Sicherheitsmitteilung beigefügten Patches einen Systemneustart erfordert, stellt SAP zudem eine temporäre Abhilfe bereit, die online bereitgestellt werden kann. SAP bezeichnet die Abhilfe als „eine bemerkenswerte Verbesserung“, empfiehlt jedoch, den endgültigen Patch parallel dazu so bald wie möglich zu installieren. Während die Abhilfe lediglich den Zugriff auf den Migrationsdienst blockiert, fügt der endgültige Patch die fehlende Autorisierungsprüfung hinzu.
 
Der SAP-Sicherheitshinweis Nr. 3017378 mit einem CVSS-Score von 7,7 ist der einzige Hinweis mit hoher Priorität in den SAP-Patch-Veröffentlichungen vom März und behebt die Möglichkeit einer Authentifizierungsumgehung in SAP-HANA-LDAP-Szenarien. Die Authentifizierungsumgehung ist möglich, wenn die folgenden Bedingungen zutreffen:

  • Der LDAP-Verzeichnisserver ist so konfiguriert, dass eine nicht authentifizierte Verbindung möglich ist
  • Die SAP-HANA-Datenbank ist so konfiguriert, dass der Zugriff auf Basis der LDAP-Authentifizierung möglich ist
  • SAP HANA ist so konfiguriert, dass Benutzer auf Basis der LDAP-Authentifizierung automatisch angelegt werden

Gemäß dem zugewiesenen CVSS-Vektor hat die Sicherheitslücke erhebliche Auswirkungen auf die Vertraulichkeit und Integrität des Systems.

Weitere Sicherheitslücken im Zusammenhang mit „Reverse Tabnabbing“ wurden behoben

SAP hat Sicherheitslücken im Zusammenhang mit Reverse Tabnabbing für zwei weitere UI-Technologien bzw. Frameworks behoben. Während der SAP-Sicherheitshinweis Nr. 2976947 diese Sicherheitslücke für Web Dynpro Java behebt, tut der SAP-Sicherheitshinweis Nr. 2977001 dasselbe für HTMLB for Java. Im Gegensatz zu den Patches für andere UI-Technologien erfordern diese beiden Patches einen zusätzlichen Fix für SAP NetWeaver AS Java, der mit dem SAP-Sicherheitshinweis Nr. 2978151 bereitgestellt wird. Die Reihe der Sicherheitshinweise zu Reverse-Tabnabbing-Schwachstellen wird durch ein Update des SAP-Sicherheitshinweises Nr. 2972275 vervollständigt, das die Schwachstelle für SAP-Business-Server-Pages-Anwendungen auf SAP NetWeaver ABAP behebt. Dieser Hinweis enthält ein Update des Abschnitts mit den Korrekturanweisungen.

Einen guten Überblick und eine Zusammenfassung aller Patches zum Thema „Reverse Tabnabbing“ finden Sie in diesem SAP-Knowledge-Base-Artikel Nr. 3014875.

Zusammenfassung und Schlussfolgerungen

Mit 18 neuen und aktualisierten SAP-Sicherheitshinweisen liegt der SAP-Patch-Day im März leicht unter der durchschnittlichen Anzahl an Patches, die in den ersten beiden Monaten des Jahres 2021 veröffentlicht wurden.

Mit SAP MII, SAP NetWeaver AS Java und SAP HANA sind diesmal drei verschiedene Anwendungen von kritischen Sicherheitslücken (HotNews und High Priority) betroffen. Insbesondere die Sicherheitslücke im Migrationsdienst von SAP NetWeaver AS Java zeigt einmal mehr, dass selbst Komponenten, die für einen SAP-Kunden nicht unmittelbar sichtbar sind, ein hohes Risiko darstellen können, wenn sie nicht behoben werden. Gleiches gilt für SAP-Komponenten, die von einem Kunden „nicht genutzt“ werden.

Die Tatsache, dass sie vom Kunden nicht genutzt werden, hindert Angreifer nicht daran, sie als Einfallstor in das System zu nutzen, solange sie ausnutzbare Schwachstellen enthalten! 

Sicherheitslücken im Rahmen des SAP-Patch-Day im März 2021

Wie immer Onapsis Research Labs bereits Onapsis Research Labs , die Platform zu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.

Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest Onapsis“-Newsletter.

Alle SAP-Sicherheitshinweise anzeigen
Stichwörter, , , ,
Über den Autor

Thomas Fritsch

Als führender SAP-Sicherheitsforscher bei Onapsis gilt Thomas Fritsch als anerkannte Autorität in den Bereichen vulnerability management und neue Bedrohungen. Aufgrund seiner langjährigen Erfahrung als SAP-Experte konzentriert er sich auf hochtechnische Bereiche wie die Konfiguration von SAP-Systemen und das Transportmanagement. Thomas’ Analysen der neuesten SAP-Sicherheitspatches und -Schwachstellen sind ein zentraler Bestandteil der Forschungsarbeit, die Unternehmen die fundierten und umsetzbaren Erkenntnisse liefert, die sie zum Schutz ihrer Systeme benötigen. Seine Rolle als angesehener Redner und Autor festigt seinen Ruf als maßgebliche Stimme im Bereich der SAP-Cybersicherheit und trägt dazu bei, die Lücke zwischen komplexer Forschung und praktischen Sicherheitsmaßnahmen in der realen Welt zu schließen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen