SAP-Sicherheitshinweise Mai 2019: Mehrere fehlende Berechtigungsprüfungen behoben

Von:

14. Mai 2019

Da heute der zweite Dienstag des Monats ist, hat SAP die Sicherheitshinweise für Mai veröffentlicht. In diesem Monat wurden keine kritischen Hinweise oder „Hot News“-Hinweise veröffentlicht, aber es gibt drei Hinweise mit hoher Prioritätsowie zwei weitere SAP-Sicherheitshinweise, dieden SAP Solution Managerbetreffen (gemeldet von den Onapsis Research Labs). In diesem Monatbetreffen 50 % der Patches fehlende Autorisierungsprüfungen, was über dem Durchschnitt von 15 % liegt. Dabei handelt es sich um eine der häufigsten Schwachstellen in SAP-Software.

Im Mai wurden insgesamt 11 Sicherheitshinweise veröffentlicht, drei weitere folgten Ende April nach dem „Patch Tuesday“ des Vormonats. Diese betrafen folgende Arten von Sicherheitslücken: fehlende Autorisierungsprüfungen (die häufigste Art von Sicherheitslücken in SAP-Software), Offenlegung von Informationen, Cross-Site-Scripting (XSS) und Rechteausweitung.

Gestern veröffentlichte die ASUG (America’s SAP Users Group) einen Blogbeitrag, der ein Interview mitTim McKnight,dem CISO von SAP, und Mariano Nunez, dem Gründer und CEO von Onapsis,enthält. Darin sprachen sie darüber, wie die beiden Unternehmen weiterhin zusammenarbeiten, um Kunden vor Cyberrisiken wie10KBLAZEzuschützen. In diesem Zusammenhang hat SAP den SAP-Sicherheitshinweis Nr. 1408081„Grundeinstellungen für reg_info und sec_info“ aus dem Jahr 2010 neu veröffentlicht. Dieser Hinweis bezieht sich auf die Sicherheit der SAP-Gateway-Zugriffslisten. SAP hat Daten wie betroffene Versionen und spezifische Formulierungen im Zusammenhang mit der jüngsten 10KBLAZE-Fehlkonfiguration aktualisiert, um Kunden dabei zu helfen, das Risiko besser zu verstehen und so schnell wie möglich Abhilfe zu schaffen. 

Neben der Lektüre dieser monatlichen Analyse der wichtigsten veröffentlichten Sicherheitshinweise ist es wichtig, über einen umfassenden Patch-Management-Prozess zu verfügen, um alle SAP-Systeme zu schützen und mit Sicherheitspatches auf dem neuesten Stand zu halten. Eines von McKnights Zitaten aus dem oben genannten Interview fasst gut zusammen, warum wir diesen Blogbeitrag jeden Monat verfassen:„50.000 mag die veröffentlichte Zahl [der betroffenen SAP-Kunden] sein, aber wir sind der Meinung, dass schon ein einziger Kunde zu viel ist.“ Wenn Sie also der SAP-Kunde sind, der dies liest, müssen Sie sicherstellen, dass Ihre Umgebung so sicher wie möglich ist, und hoffentlich ist die Onapsis Research Labs ein guter Ausgangspunkt.

Sicherheitslücken mit hoher Priorität: Drei Hinweise, drei Plattformen, drei Arten

Wie bereits erwähnt, gibt es diesen Monat drei Notizen, die als „Notizenmit hoher Priorität“ gekennzeichnet sind. 

Den höchsten CVSS-Wert weist der SAP-Sicherheitshinweis Nr. 2756453„Unzureichender Seitenschutz in S/4HANA für das Kundenmanagement“ mit einem CVSS v3.0-Wert von 8,5 auf. Es handelt sich hierbei um eine klassische XSS-Sicherheitslücke, die zu clientseitigen Angriffen führen könnte, darunter die Verfälschung von Webinhalten für einen bestimmten Benutzer oder sogar der Diebstahl von Authentifizierungsdaten des Opfers. Beachten Sie, dass dieser Hinweis manuelle Schritte erfordert, die vor der Installation des Pakets ausgeführt werden müssen. Auf dieser Grundlage werden in dem Hinweis auch einige Workarounds beschrieben. 

Der Hinweis mit dem nächsthöchsten CVSS-Wert von 8,4. Der SAP-Sicherheitshinweis Nr. 2776558behebt einefehlende Berechtigungsprüfung im SAP-Finanzmanagement. Der Hinweis ist auf Deutsch veröffentlicht, sollte aber bald ins Englische übersetzt werden. Wie bei jeder fehlenden Berechtigungsprüfung werden in dem Hinweis die fehlenden Prüfungen hinzugefügt, um zu verhindern, dass ein böswilliger Benutzer eine Rechteerweiterung erhält, die zu einem Missbrauch von Funktionen führen könnte.

Schließlich wurde der SAP-Sicherheitshinweis Nr. 2784307„Rechteausweitung in der SAP Identity Management REST-Schnittstelle Version 2“ (CVSS v3.0: 8,3) extern gemeldet (das heißt, er wurde nicht von SAP selbst entdeckt), weshalb er die CVE-Nummer CVE-2019-0301 enthält. In diesem Fall können Benutzer möglicherweise Berechtigungen ändern, anstatt diese Daten nur einsehen zu können, was zu einem Verlust der Vertraulichkeit oder Integrität von Systemen führen kann, die mit SAP Identity Management verbunden sind. Wenden Sie den Patch an, um das Problem zu beheben.

Onapsis Research Labs SAP bei der Behebung von Sicherheitslücken im Solution Manager

Im Rahmen der kontinuierlichen Zusammenarbeit Onapsis Research Labs den Onapsis Research Labs und SAP wurden zwei Sicherheitslücken behoben, die den SAP Solution Manager betrafen.

Wie wir bereits in früheren Veröffentlichungen erwähnt haben, gehören fehlende Berechtigungsprüfungen nach wie vor zu den häufigsten Schwachstellen in SAP-Software. Der mitmittlerer Priorität(CVSS v3.0 von 5) eingestufte SAP-Hinweis Nr. 2756625„Fehlende Berechtigungsprüfung bei der Überprüfung von RFC-Zielen im SAP Solution Manager und in ABAP-verwalteten Systemen“ vervollständigt eine Reihe von Schwachstellen, die von unserem leitenden ForscherMatias Sena gemeldet wurden. In allen Fällen bezogen sich die Hinweise auf unsachgemäße Autorisierungsprüfungen für verschiedene ABAP-Funktionen, die die Verwaltung von RFC-Verbindungen ermöglichen. Dies bedeutet, dass ein potenzieller Angreifer in der Lage wäre, RFC-Verbindungen aufzulisten oder technische Details dazu abzurufen. Ein Angreifer könnte Kommunikationsinformationen zwischen Systemen sammeln. Weitere Details zu möglichen Szenarien für diese Schwachstelle finden Sie imBlogbeitrag „Onapsis SAP Security Notes December ‘18“.

Innerhalb der Solution Manager-Architektur ist CA Introscope die Softwarekomponente, die für die Erfassung von Informationen zur Leistung und anderen Überwachungskennzahlen zuständig ist. 

Die Anmeldedaten, die zum Senden dieser Informationen vom Introscope Enterprise Manager an den Solution Manager verwendet wurden, wurden von unserem Forscher Yvan Genuer in einer unverschlüsselten Datei gefunden, auf die als Eigenschaft verwiesen wurde. Diese Schwachstelle wurde mit einer mittleren Priorität und einem CVSS v3.0-Wert von 4,3 bewertet. Um das Problem zu beheben, befolgen Sie bitte die Anweisungen in SAP-Hinweis Nr. 2748699„Information Disclosure in Solution Manager 7.2 / CA Introscope Enterprise Manager“ und stellen Sie sicher, dass Sie das richtige Management-Modul für die im System ausgeführte Version von CA Introscope installieren.

In diesem Monat berichten Matías Sena und Yvan Genuer von den Onapsis Research Labs auf der Grundlage ihrer Erkenntnisse und Berichteauf der SAP-Webseite gewürdigt. Wie immer arbeiten wir daran, die Onapsis Security Platform zu aktualisieren, Platform diese neu veröffentlichten Schwachstellen zu berücksichtigen. Dadurch können unsere Kunden überprüfen, ob ihre Systeme auf dem neuesten Stand der SAP-Sicherheitshinweise sind, undsicherstellen, dass diese Systeme mit dem erforderlichen Sicherheitsniveau konfiguriert sind, um ihre Audit- und Compliance-Anforderungen zu erfüllen.

Bitteabonnieren Sie unseren Blogoderfolgen Sie uns auf Twitter, um weitere Informationen zu den neuesten SAP-Sicherheitsproblemen zu erhalten, und bleiben Sie auf dem Laufenden über unsere kontinuierlichen Bemühungen, Inhalte mit der Sicherheits-Community zu teilen.

Stichworte, ,
Über den Autor

Thomas Fritsch

Als führender SAP-Sicherheitsforscher bei Onapsis gilt Thomas Fritsch als anerkannte Autorität in den Bereichen vulnerability management und neue Bedrohungen. Aufgrund seiner langjährigen Erfahrung als SAP-Experte konzentriert er sich auf hochtechnische Bereiche wie die Konfiguration von SAP-Systemen und das Transportmanagement. Thomas’ Analysen der neuesten SAP-Sicherheitspatches und -Schwachstellen sind ein zentraler Bestandteil der Forschungsarbeit, die Unternehmen die fundierten und umsetzbaren Erkenntnisse liefert, die sie zum Schutz ihrer Systeme benötigen. Seine Rolle als angesehener Redner und Autor festigt seinen Ruf als maßgebliche Stimme im Bereich der SAP-Cybersicherheit und trägt dazu bei, die Lücke zwischen komplexer Forschung und praktischen Sicherheitsmaßnahmen in der realen Welt zu schließen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen