SAP-Sicherheitspatches Mai 2020: Zum zweiten Mal in Folge wurden insgesamt 29 Korrekturen veröffentlicht

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Mai gehören:

• Zusammenfassung für Mai—29 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter sechs HotNews -Hinweise und sieben Hinweise mit hoher Priorität
• SAP ASE am stärksten betroffen—SAP Adaptive Server Enterprise mit fünf kritischen Korrekturen und insgesamt sieben Korrekturen
• Onapsis Research Labs —Unser Team hat SAP dabei unterstützt, eine Sicherheitslücke mit mittlerer Priorität zu beheben, die zu einem Denial-of-Service-Angriff führen könnte

Zum zweiten Mal in Folge hat SAP an seinem regulären Patch-Tag 29 Korrekturen veröffentlicht – eine höhere Zahl als in jedem durchschnittlichen Monat des vergangenen Jahres. Während sich die Gesamtzahl der Korrekturen auf einem relativ hohen Niveau stabilisiert hat, ist die Anzahl der kritischen Patches gestiegen. Angesichts von sechs HotNews-Hinweisen und sieben Hinweisen mit hoher Priorität sind in diesem Monat zahlreiche Patch-Aktivitäten für SAP-Kunden erforderlich. Eine genauere Analyse zeigt jedoch, dass mindestens fünf der kritischen Patches nur Kunden betreffen, die SAP auf SAP Adaptive Server Enterprise (SAP ASE) ausführen.

Im Fokus des Patch Day im Mai: SAP Adaptive Server Enterprise (SAP ASE)

Der SAP-Patch-Day im Mai umfasst eine Vielzahl von Korrekturen für SAP ASE. SAP ASE ist einer der von SAP-Geschäftsanwendungen unterstützten SQL-Datenbankserver. Er nutzt ein relationales Datenverwaltungsmodell und bietet sowohl On-Premise- als auch cloud .

Die festgestellten Probleme umfassen verschiedene Arten von Sicherheitslücken. Die kritischsten davon sind, gemessen am CVSS-Score, die beiden HotNews-Meldungen Nr. 2917275 und Nr. 2917090. Während der erste Hinweis eine Code-Injection-Schwachstelle im Backup-Server von SAP ASE behebt, behebt der zweite Hinweis eine Schwachstelle hinsichtlich der Offenlegung von Informationen im SAP ASE Cockpit. Die jeweiligen CVSS-Werte von 9,1 und 9,0 spiegeln die Schwere dieser Schwachstellen wider.

Ebenfalls enthalten sind drei Sicherheitshinweise mit hoher Priorität für SAP ASE. Die SAP-Sicherheitshinweise Nr. 2916927 und Nr. 2917273 beheben SQL-Injection-Schwachstellen, die zu einer Rechteausweitung führen können und es authentifizierten Benutzern somit ermöglichen, Befehle auszuführen, zu deren Ausführung sie ansonsten nicht berechtigt sind. Im Vergleich zum CVSS-Wert von 8,8 für die in der ersten Note beschriebene Schwachstelle ist der CVSS-Wert der zweiten Note etwas niedriger, da ein Angreifer mehr Berechtigungen benötigt, um sie auszunutzen. Der dritte Hinweis mit hoher Priorität für SAP ASE, der SAP-Sicherheitshinweis Nr. 2915585 mit einem CVSS-Wert von 8,0, beschreibt eine Schwachstelle, die in der XP-Server-Komponente gefunden wurde und nur Installationen auf Windows-Plattformen betrifft. Die Schwachstelle ermöglicht die Einschleusung von Code und versetzt einen Angreifer in die Lage, geschützte Daten zu lesen, zu ändern oder zu löschen.

Weitere wichtige kritische SAP-Sicherheitshinweise im Mai

Der kritischste Eintrag ist der HotNews-Eintrag Nr. 2835979 mit einem CVSS-Wert von 9,9. Aufgrund einer unzureichenden Eingabevalidierung in einem remote-fähigen Funktionsbaustein, der dynamisch Code generiert, kann ein Angreifer control vollständige control jedes SAP-NW-ABAP-System erlangen, das mit einem Solution-Manager-System (SolMan) verbunden ist. Nur die Tatsache, dass ein Angreifer ein Mindestmaß an Berechtigungen benötigt, um diese Schwachstelle auszunutzen, hat verhindert, dass sie einen CVSS-Wert von 10,0 erhalten hat. Glücklicherweise sind für den bereitgestellten Fix keine manuellen Schritte erforderlich. Onapsis empfiehlt, den entsprechenden Patch so schnell wie möglich zu installieren!

Zwei HotNews-Meldungen betreffen platform SAP BusinessObjects Business Intelligence platform. Der SAP-Sicherheitshinweis Nr. 2885244 beschreibt ein Szenario, das zu einer Sicherheitslücke aufgrund fehlender Authentifizierung führt. Dank des unveränderten Ausmaßes im Falle einer Ausnutzung liegt der CVSS-Wert bei „nur“ 9,8. Der HotNews-Hinweis Nr. 2863731 mit dem Titel „Deserialisierung nicht vertrauenswürdiger Daten in Platform SAP BusinessObjects Business Platform CR .Net SDK WebForm Viewer)“ und einem CVSS-Wert von 9,1 enthält Aktualisierungen zu einer Sicherheitslücke in SAP BusinessObjects, die ursprünglich am Patch Day im April veröffentlicht wurde.

Die Reihe der sechs HotNews-Hinweise wird durch ein weiteres Update des SAP-Sicherheitshinweises Nr. 2622660 ergänzt, das einen neuen Patch-Stand für den SAP Business Client bereitstellt. Diese Patches bieten Unterstützung für Chromium-Version 81.0.4044.92. Einzelheiten zu den konkreten Korrekturen, die mit dieser Chromium-Version ausgeliefert werden, finden Sie hier.

Weitere Hinweise mit hoher Priorität, sortiert nach absteigendem CVSS-Wert, sind:

Sicherheitslücke durch Cross-Site-Scripting in SAP Enterprise Threat Detection behoben

Der wichtigste Aspekt jeder Sicherheitsmaßnahme ist, dass sie keine zusätzlichen Schwachstellen in der Kundenumgebung verursacht. SAP hat daher eine Schwachstelle mit einem CVSS-Wert von 6,1 in SAP Enterprise Threat Detection (ETD) behoben. Der SAP-Sicherheitshinweis Nr. 2913293, der eine unzureichende Verschlüsselung bestimmter Seiten betraf, führte zu einer Cross-Site-Scripting-Schwachstelle mit folgenden potenziellen Auswirkungen:

• Die auf einer Website angezeigten Inhalte vorübergehend verunstalten oder verändern
• Authentifizierungsdaten des Benutzers abgreifen, beispielsweise Daten zu seiner aktuellen Sitzung
• Als der Benutzer auftreten und mit denselben Rechten wie der Zielbenutzer auf alle Informationen zugreifen 

Diese Auswirkungen zeigen, dass es nicht ausreicht, angemessene Sicherheitsmaßnahmen für eine IT-Infrastruktur zu ergreifen, sondern dass es mindestens ebenso wichtig ist, diese Maßnahmen selbst zu schützen. SAP ist sich dieser Philosophie bewusst und unternimmt gemeinsam mit Sicherheitsforschern auf der ganzen Welt große Anstrengungen, um seine Kunden zu schützen. Dennoch ist auch die Mitarbeit der Kunden erforderlich. Dazu gehören die Umsetzung spezifischer Sicherheitsrichtlinien, regelmäßige Patches und Überwachung sowie die kontinuierliche Feinabstimmung der Sicherheitsmaßnahmen. Lesen Sie den Onapsis-Blogbeitrag „Securing Your SAP and Securing the Security of Your SAP“, um Best Practices für die Sicherung der Sicherheitseinstellungen in SAP zu erfahren. 

Zusammenfassung und Schlussfolgerungen

Wie die meisten unserer Leser vielleicht wissen, Onapsis Research Labs die Onapsis Research Labs kontinuierlich nach Schwachstellen in geschäftskritischen Anwendungen und arbeiten eng mit SAP zusammen, um dessen Sicherheitsteam dabei zu unterstützen, die Fehler so schnell wie möglich zu beheben. In diesem Monat haben wir auch an dem Bericht über eine Denial-of-Service-Schwachstelle (DoS) mitgewirkt, die in SAP Security Note#2856923 [CVE-2020-6240] behoben wurde. Diese behebt eine DoS-Schwachstelle in SAP NetWeaver Application Server ABAP (Web Dynpro ABAP).

Zum Abschluss noch eine Zusammenfassung des SAP Patch Day im Mai: 

• Die Zahl der kritischen Fehlerbehebungen sowie die Gesamtzahl der Fehlerbehebungen ist nach wie vor hoch 
• SAP SolMan ist nach wie vor ein attraktives Ziel für Angriffe auf beliebige SAP-Systeme
• Komponenten, die bei früheren Patch-Tagen nicht so sehr im Blickpunkt standen, erhielten nun viel Aufmerksamkeit (SAP ASE) 

Wie immer Onapsis Research Labs bereits Onapsis Research Labs , die Platform zu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können. 

Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest Onapsis“-Newsletter.