SAP-Sicherheitshinweise Mai 2017: Lösungen für Militär und Verteidigung
Wie an jedem zweiten Dienstag im Monat hat SAP heute seine monatlichen Sicherheitshinweise veröffentlicht, um die Sicherheit Ihrer SAP-Infrastruktur zu gewährleisten. In diesem Monat hat SAP 14 neue Sicherheitshinweise veröffentlicht, von denen nur einer als „hohe Priorität“ eingestuft wurde. Von diesen 14 Hinweisen sind jedoch vier Aktualisierungen früherer Veröffentlichungen. Angesichts der Anzahl der behobenen Sicherheitslücken und deren Schweregrad lässt sich mit Sicherheit sagen, dass dies im Vergleich zu den Vormonaten kein kritischer Patch-Tag für SAP ist.
Darüber hinaus hat SAP im April nach der Veröffentlichung der April-Sicherheitshinweise drei weitere Hinweise herausgegeben, sodass wir insgesamt 17 behobene Sicherheitslücken prüfen werden. Am häufigsten treten dabei „Fehlende Berechtigungsprüfung“ (6) und „Cross-Site-Scripting-Angriffe“ (5) auf, sowie je ein weiterer Hinweis zu den folgenden Angriffen: „Fehlende XML-Validierung“, „SQL-Injection“, „Denial-of-Service (DoS)“, „Speicherbeschädigung“, „Clickjacking“ und „Unzureichende Protokollierung“.
15 Hinweise wurden mit „mittlerer Priorität“ gekennzeichnet, einer mit „niedriger Priorität“. Der einzige Hinweis mit „hoher Priorität“ des Monats betrifft keine Sicherheitslücke direkt in der platform, sondern einen Fehler in einer von SAP verwendeten Bibliothek. Dieser Hinweis ist Nr. 2380277mit dem Titel „Memory Corruption Vulnerability in IGS“ und beschreibt, wie ein Angreifer eine von Internet Graphics Server (IGS) verwendete Bibliothekskomponente aktualisieren kann. Dieser Fehler ist bereits seit einem Jahr bekannt. Obwohl der Fehler schon seit einiger Zeit besteht, ist er relativ einfach zu beheben, und es gibt keine Berichte darüber, dass er in der Praxis in großem Umfang ausgenutzt wurde. Andere Softwareunternehmen wie Oracle und RedHat verwendeten dieselbe Bibliothek und haben sie bereits 2016 aktualisiert.
Schließlich handelt es sich bei allen veröffentlichten Hinweisen bis auf einen um automatische Hinweise. Das bedeutet, dass diese Hinweise nach der Installation automatisch wirksam werden; es sind keine manuellen Schritte oder zusätzlichen Überprüfungen erforderlich. Der einzige SAP-Hinweis, der manuelle Schritte erfordert, ist Hinweis Nr. 2142551„Whitelist-Service für Clickjacking-Framing-Schutz in AS ABAP“. Dieser Hinweis wurde ursprünglich im Jahr 2016 veröffentlicht und in unserem Blogbeitrag„Clickjacking-Sicherheitshinweise von SAP: Wo soll man anfangen?“ausführlich analysiert. Hier finden Sie weitere Details dazu, wie Sie ein Clickjacking-Sicherheitsframework in SAP ordnungsgemäß einrichten.
SAP für den Verteidigungssektor im Rückblick
Im vergangenen November haben unsere Forschungslabore „SAP For Defense Security“ analysiert und arbeiten seitdem mit SAP zusammen, um die Sicherheit dieser Lösung durch die Behebung aller gemeldeten Sicherheitslücken zu verbessern. Vor Dezember 2016 gab es nur drei SAP-Sicherheitshinweise zu dieser Lösung; weitere 13 wurden von SAP nach Dezember 2016 veröffentlicht. In diesem Monat hat SAP drei weitere Hinweise zu fehlenden Berechtigungsprüfungen in SAP for Defense Security hinzugefügt. Diese Hinweise tragen die Nummern #2394024, #2376743 und #2442630.
Die 13 von Onapsis gemeldeten SAP-Sicherheitshinweise decken über 40 verschiedene Schwachstellen ab, die in diesen Hinweisen zusammengefasst und, wie in der Grafik dargestellt, bereits zuvor veröffentlicht wurden. 11 der 13 Fehler stehen im Zusammenhang mit Schwachstellen aufgrund „fehlender Berechtigungsprüfungen“ und gehören zu den relevantesten Fehlern für die SAP-Sicherheit. Wie es in derCommon Weakness Enumerationheißt: „Die Schwachstelle liegt vor, wenn ein Akteur, der mit dem System interagiert, versucht, auf eine Ressource zuzugreifen oder eine bestimmte Aktion darin auszuführen, zu der der Zugriff eingeschränkt sein sollte, und der Anwendung eine angemessene control fehlt.“ Ob der Anwendungsbenutzer authentifiziert ist oder nicht, beeinflusst den CVSS-Vektor und damit sowohl die CVSS-Bewertung als auch die Priorität des SAP-Sicherheitshinweises. Was die SAP-Sicherheitshinweise (ab September 2009) betrifft, so macht die Schwachstelle „Fehlende Autorisierungsprüfung“ etwa 16 % aller Hinweise aus.
Die beiden anderen gemeldeten Fehler in SAP For Defense sind eine Argument-Injection (Hinweis Nr. 2376998) und ein Denial-of-Service-Angriff (Hinweis Nr. 2410061).
Zusammenfassend lässt sich sagen, dass Onapsis kontinuierlich mit SAP zusammenarbeitet, um „SAP for Defense“ zu schützen, und bis heute dazu beigetragen hat, über 80 % der SAP-Sicherheitshinweise für diese Lösung zu beheben. Die Onapsis Research Labs bereits dabei, die Onapsis Security Platform zu aktualisieren Platform diese neu veröffentlichten Schwachstellen Platform berücksichtigen und so die Sicherheit unserer Kunden zu gewährleisten. Damit wird es möglich sein, zu überprüfen, ob Ihre Systeme auf dem neuesten Stand der SAP-Sicherheitshinweise sind, und sicherzustellen, dass diese SAP-Systeme mit dem angemessenen Sicherheitsniveau konfiguriert sind, um Ihre Audit- und Compliance-Anforderungen zu erfüllen.