SAP-Sicherheitshinweise Mai 2018: Versteckt in aller Öffentlichkeit

Von:

8. Mai 2018

In unseremJahresrückblick für 2017haben wir den Trend zur Stabilisierung der SAP-Sicherheit beleuchtet, gemessen an der Gesamtzahl der monatlich veröffentlichten Sicherheitshinweise in diesem Zeitraum. Jahr für Jahr war ein Rückgang der Anzahl der Hinweise zu beobachten, wobei 2017 die geringste Anzahl an Hinweisen seit der Gründung von Onapsis im Jahr 2009 verzeichnete. Dieser Trend setzt sich auch im Jahr 2018 eindeutig fort. 

Wie an jedem zweiten Dienstag im Monat hat SAP heute eine neue Reihe von Sicherheitshinweisen veröffentlicht. Heute wurden neun neue Hinweise veröffentlicht, womit sich die Gesamtzahl der seit dem letzten Patch Day veröffentlichten Hinweise auf nur 16 beläuft. Dies entspricht genau der Gesamtzahl des letzten Monats. Während wir in der Vergangenheit daran gewöhnt waren, dass monatlich 25 bis 30 Hinweise veröffentlicht wurden, sind wir überrascht, dass diese niedrigen Zahlen nun regelmäßig auftreten. In diesem Monat gab es keine neuen„Hot News“oder Hinweisemit hoher Priorität. Mit Ausnahme eines einzigen Hinweisesmit niedriger Prioritäthaben alle Hinweisemittlere Priorität.

Diese Zahlen könnten auf eine zunehmende Reife im Bereich der SAP-Sicherheit hindeuten – ein Ziel, das Onapsis als Pionier auf diesem Gebiet seit Jahren in enger Zusammenarbeit mit SAP verfolgt. Wir hoffen auf jeden Fall, dass sich dieser Trend fortsetzt, auch wenn er unsere Sicherheitsforscher dazu motiviert, noch gründlicher nach Schwachstellen zu suchen.

Die stille Gefahr unsicherer Konfigurationen

Auch wenn wir uns darüber freuen, dass die Zahl der monatlich veröffentlichten SAP-Sicherheitshinweise zurückgeht, möchten wir dennoch betonen, dass die Installation der neuesten Patches nicht automatisch bedeutet, dass Ihre Systeme sicher sind. Nicht alle Sicherheitsrisiken entstehen durch Programmierfehler. Einige davon entstehen durch eine unsichere Konfiguration Ihres Systems oder durchKonfigurationsabweichungen

In diesem Monathaben die Onapsis Research Labs eine kritische Sicherheitslücke in der Konfiguration aufgedeckt, die auf eine Standardinstallation in SAP-Systemen zurückzuführen ist und in ungeschützten Umgebungen zu einer vollständigen Kompromittierung des Systems führen könnte. Bei Ausnutzung könnte die Sicherheitslücke alle SAP-NetWeaver-Versionen betreffen. Die Bedrohung besteht nach wie vor in den Standard-Sicherheitseinstellungen aller auf NetWeaver basierenden SAP-Produkte wie SAP ERP, SAP CRM,S/4 HANA, SAP GRC Process and Access Control, SAP Process Integration/Exchange Infrastructure (PI/XI), SAP Solution Manager, SAP SCM, SAP SRM und anderen. Onapsis hat Hunderte von realen SAP-Kundenimplementierungen analysiert und festgestellt, dass9 von 10 SAP-Systemen nach wie vor anfällig sind.

Die Sicherheitslücke ist in erster Linie auf eine Sicherheitskonfiguration zurückzuführen, die ursprünglich von SAP im Jahr 2005 dokumentiert wurde und in den meisten SAP-Implementierungen nach wie vor vorhanden ist – entweder weil die Sicherheitskonfigurationen nicht angewendet wurden oder weil es nach der anfänglichen Absicherung zu Konfigurationsabweichungen gekommen ist. Obwohl der Patch den SAP-Kunden bereits seit geraumer Zeit zur Verfügung steht, sind wir uns der Komplexität bewusst, mit der Unternehmen bei der Umsetzung sicherer Konfigurationen konfrontiert sind. 

Onapsis hat einen Sicherheitsbericht erstellt, der Ihnen alle technischen Details zur Behebung dieser Sicherheitslücke liefert. Heute um 14:00 Uhr ET werden wir einen Webcast zu diesem Thema veranstalten. Falls Sie diese Informationen zu spät erhalten, besuchen Sie bitte unsere Website, um den Webcast zu einem späteren Zeitpunkt anzusehen.

Das Wichtigste in diesem Monat

SAP NetWeaver SAL – Fehlerhafte Protokollierung von Adressen

Vor etwa zweieinhalb Jahren veröffentlichte SAP erstmals den Hinweis Nr. 2190621, in dem über eine von Onapsis entdeckte Sicherheitslücke im Zusammenhang mit der fehlerhaften Protokollierung von IP-Adressen in der Funktion „Security Audit Logging“ (SAL) berichtet wurde. 

In einigen Umgebungen, in denen das SAP-System hinter einem Proxy oder einem NAT-Router steht, protokolliert das System die ursprüngliche Client-IP-Adresse anstelle der durch NAT übersetzten IP-Adresse. Für Audit-Zwecke ist es jedoch vorzuziehen, die übersetzte Router-IP zu protokollieren, da diese nicht ohne Weiteres gefälscht werden kann. Client-IP-Adressen lassen sich leichter manipulieren, was sie aus Sicht der Revision für die Protokollierung weniger zuverlässig macht. Darüber hinaus könnte die bevorstehende Datenschutz-Grundverordnung (DSGVO) sogar dazu führen, dass Client-IP-Adressen als personenbezogene Daten eingestuft werden, was ein weiterer Grund dafür ist, diese Art der IP-Protokollierung als unerwünscht anzusehen. 

In diesem Monat wurde der ursprüngliche Hinweis mit aktualisierten Informationen zu CVSS, Voraussetzungen und Lösungen erneut veröffentlicht. Wir empfehlen Ihnen, diesen Hinweis noch einmal durchzulesen, um sicherzustellen, dass Sie ausreichend geschützt sind. 

Sicherheitslücken in IGS

In den vergangenen Monaten hat SAP mehrere Hinweise zum Internet Graphics Server (IGS) veröffentlicht. Der IGS ist eine von SAP verwendete Engine zur Generierung visueller Komponenten wie Grafiken oder Diagramme. Zuvor veröffentlichte SAP-Hinweise zeigten, dass der IGS eine Vielzahl von Sicherheitslücken aufwies, darunter Denial-of-Service- (DoS), Cross-Site-Scripting- (XSS) und Log-Injection-Angriffe. 

Zwei Sicherheitsmeldungen (#2525222und#2538829) umfassten insgesamt mehr als 15 Sicherheitslücken, von denen einige sehr schwerwiegend waren. Diese Fehler wurden vom Sicherheitsforscher Yvan Genuer entdeckt, kurz bevor er Onapsis Research Labs Monat zu den Onapsis Research Labs kam. Sie können sich vorstellen, wie sehr wir uns freuen, dass er nun Teil unseres Teams ist!

Heute hat SAP vier weitere Meldungen zu IGS veröffentlicht:

  • [CVE-2018-2420]Uneingeschränkter Datei-Upload im SAP Internet Graphics Server (IGS)(#2615635): Der SAP Internet Graphics Server (IGS) ermöglicht es einem Angreifer, beliebige Dateien (einschließlich Skriptdateien) ohne ordnungsgemäße Überprüfung des Dateiformats hochzuladen
  • [CVE-2018-2421] [CVE-2018-2422]:Denial-of-Service-Angriff im SAP Internet Graphics Server (IGS) Portwatcher(#2616599&#2617553): Der SAP Internet Graphics Server (IGS) ermöglicht es einem Angreifer, legitime Benutzer am Zugriff auf einen Dienst zu hindern, indem er den Dienst zum Absturz bringt oder mit Daten überflutet
  • [CVE-2018-2423]Denial-of-Service-Angriff auf den SAP Internet Graphic Server (IGS) RFC-Listener(#2620744): Der HTTP- und RFC-Listener des SAP Internet Graphic Server (IGS) ermöglicht es einem Angreifer, legitime Benutzer am Zugriff auf einen Dienst zu hindern, indem er den Dienst zum Absturz bringt oder mit Daten überflutet

ANSEHEN: Yvan Genuer spricht auf der Troopers 2018 über IGS-Sicherheitslücken 

Fazit
Wie immer arbeiten wir daran, dieOnapsis Security Platformzu aktualisieren, um diese neu veröffentlichten Sicherheitslücken zu berücksichtigen. Dadurch können unsere Kunden überprüfen, ob ihre Systeme auf dem Stand der neuesten SAP-Sicherheitshinweise sind, und sicherstellen, dass diese Systeme mit dem erforderlichen Sicherheitsniveau konfiguriert sind, um ihre Audit- und Compliance-Anforderungen zu erfüllen. Weitere Informationen zu allen in diesem Blogbeitrag behandelten Themen finden Sie auf unserer Website. 

Zu guter Letzt: Vergessen Sie nicht,dass dieDatenschutz-Grundverordnung am 25. Mai 2018 in Kraft tritt. Viel Erfolg, und bei Fragen können Sie sich gerne an uns wenden.

Stichworte, , ,
Über den Autor

Waldo Spek

Waldo Spek ist ein versierter Experte für Cybersicherheit mit umfassender Erfahrung im Schutz von Unternehmenssystemen und im Management von IT-Sicherheitsrisiken. Als Spezialist für SAP-Sicherheit und Compliance hat Waldo eine entscheidende Rolle dabei gespielt, Unternehmen beim Schutz ihrer wichtigsten Geschäftsanwendungen zu unterstützen. Seine Fachkenntnisse im Bereich Schwachstellenmanagement, kombiniert mit seinem strategischen Ansatz zur Cyberabwehr, stellen sicher, dass Unternehmen gut gerüstet sind, um mit sich ständig weiterentwickelnden Bedrohungen umzugehen und gleichzeitig die Betriebsintegrität aufrechtzuerhalten.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen