SAP-Sicherheitshinweise November 2018: Die Bedrohung auf der mobilen Client-Seite
SAP hat heute wie geplant 12 Sicherheitshinweise für den SAP Security Patch Day im November veröffentlicht. Zusammen mit den vier seit dem Patch Day im Oktober veröffentlichten Hinweisen ergibt dies insgesamt 16 Sicherheitshinweise. Unter diesen SAP-Sicherheitshinweisen befinden sich drei, die eine Reihe von Sicherheitslücken beheben, die von den Onapsis Research Labs gemeldet wurden. Zwei davon sind kritisch. Der erste Hinweis #2657670 bezieht sich auf eine Denial-of-Service-Sicherheitslücke (DoS) in der SAP BusinessObjects BI Suite (BOBJ), die einen Angriff auf den Central Management Server (CMS) und die Console (CMC) ermöglicht, wodurch die platform reagiert. Der zweite kritische Hinweis #2691126 behandelt fünf Schwachstellen in der SAP Fiori Mobile App für Android, von denen diejenige mit den größten Auswirkungen eine Code-Injection-Schwachstelle ist, die es einem Angreifer ermöglicht, das Mobiltelefon des Benutzers auszuspionieren. Der dritte Hinweis, der eine von Onapsis gemeldete Schwachstelle behandelt, ist #2695896und betrifft SAP Mobile Secure für Android mit einer Schwachstelle, die einen DoS-Angriff ermöglicht, indem sie diese Client-Software für die Verwaltung mobiler Geräte zum Absturz bringt.
Sieben gemeldete Sicherheitslücken in Onapsis behoben
Der SAP-Sicherheitshinweis Nr. 2657670 behebt eine Sicherheitslücke, die Onapsis Research Labs von Onapsis Research Labs gemeldet wurde. Es handelt sich um eine Denial-of-Service-Sicherheitslücke , die SAP BusinessObjects (BOBJ) Platform .1 und 4.2 betrifft.
Wie Sie wahrscheinlich wissen, platform die platform das CMS, das in seiner eigenen Systemdatenbank alle Konfigurationsdaten speichert, darunter Benutzer, Ordner, Zugriffsrechte, SSO, Dienste und andere Verwaltungsdaten. Das CMS hostet eine webbasierte Anwendung namens Central Management Console (CMC), die eine wichtige Rolle bei der Verwaltung der BOBJ-Verwaltungsaufgaben und der Sicherheitskonfiguration spielt. Diese Konsole wird von einem Tomcat-Webserver bereitgestellt.
Der Sicherheitsfehler befindet sich in der Gateway -Komponente des „Web Intelligence Richclient 3-Tier-Modus“ von BOBJ. Er wurde von dem Onapsis-Forscher Gaston Trabergentdeckt und funktioniert wie folgt: Wenn ein Angreifer eine einzelne, speziell gestaltete HTTP-Anfrage an das CMS sendet, gerät der für die Verarbeitung dieser HTTP-Anfrage zuständige Prozess (ein Tomcat-Handling-Thread) in eine Endlosschleife, die zwei wichtige Systemressourcen rasend schnell aufbraucht und den Server dadurch erheblich beeinträchtigt.
Dieser sich wiederholende Thread verursacht eine hohe CPU-Auslastung und beansprucht viel Speicherplatz. Wird er nicht gestoppt, wird der gesamte verfügbare Speicherplatz aufgebraucht, wodurch das System fast unbrauchbar wird. Sobald kein Speicherplatz mehr verfügbar ist, fallen viele Dienste aus, insbesondere das CMS von BOBJ, sodass sich Benutzer nicht mehr anmelden oder auf Ordner und Berichte zugreifen können und der Systemadministrator keinen Zugriff mehr auf das CMC von BOBJ hat . Was diesen Remote-Angriff noch schlimmer macht, ist, dass keine Anmeldedaten erforderlich sind – es handelt sich um einen nicht authentifizierten Angriff. Ein einfacher Netzwerkzugang reicht aus, um diese Schwachstelle auszunutzen.
Eine mögliche Behebung dieses durch den Angriff verursachten unerwarteten Verhaltens setzt voraus, dass der Systemadministrator die ausbleibende CPU-Reaktion und den plötzlichen Mangel an Festplattenspeicher erkennt. Der Administrator kann den gesamten Server neu starten und anschließend die beim Angriff erzeugten großen Protokolldateien bereinigen; eine weitere Möglichkeit, diese problematische Situation zu beheben, besteht darin, den Tomcat-Webserver anzuhalten, die großen Fehlerprotokolle zu bereinigen und den Webserver neu zu starten. Wird dieser Fehler nicht behoben, kann der Angreifer die böswillige Anfrage erneut senden und das System außer Betrieb setzen. Wir empfehlen dringend, das System gemäß dem SAP-Sicherheitshinweis zu patchen. Mit der OSP-Richtlinie „Missing Patches“ lässt sich überprüfen, ob die entsprechenden Korrekturen installiert sind.
Der andere wichtige SAP-Sicherheitshinweis Nr. 2691126 bezieht sich auf die SAP Fiori Mobile App für Android und enthält Korrekturen für fünf von Onapsis gemeldete Schwachstellen. Die auffälligste pack eine Code-Injection-Schwachstelle mit einem CVSS v3-Basiswert von 8,6. Durch Ausnutzung dieser Schwachstelle kann ein Angreifer auf einfache Weise einen mobilen Benutzer ausspionieren sowie sensible Daten des konfigurierten SAP-Systems abziehen.
Die SAP Fiori Mobile App ist eine native mobile Client-Anwendung, die zur Kommunikation mit dem SAP Fiori-Server dient. Dieser Client ist so konzipiert, dass er als Fiori-Client stärker integriert und effizienter ist als ein Standardbrowser. Diese Anwendung verfügt über weitreichende Berechtigungen auf dem Android-Gerät, wie auf der App-Webseite unter „Berechtigungen“ ersichtlich ist.
Die Sicherheitslücke liegt im Kern der Anwendung und unterläuft die Sandbox-Funktion von Android, einen Sicherheitsmechanismus zur Trennung laufender Programme. Sie wurde vom Onapsis-Forscher Yvan Genuer entdeckt, und ihre Ausnutzung funktioniert wie folgt: Ein Angreifer könnte eine App ohne Berechtigungsanforderungen fälschen, die nach der Installation auf dem Endgerät des Benutzers mit ihren weitreichenden Berechtigungen beliebige Aufgaben in der SAP-Fiori-Anwendung ausführen kann, ohne dass der Benutzer davon in Kenntnis gesetzt wird.
Ein Angreifer könnte control Malware control , um sensible Daten vom Gerät zu entwenden, wie beispielsweise alle Telefonkontakte, den gesamten Kalender, Bilder, die Konfigurationsdatei des SAP-Systems und Cookie-Sitzungen. Diese Informationen können dazu genutzt werden, schwerwiegendere Angriffe zu entwickeln oder Endnutzer auszuspionieren, Datum und Uhrzeit eines wichtigen Termins abzurufen, während dieses Zeitraums Audioaufnahmen zu machen und die Audiodatei zu entwenden. Was diese control macht, ist, dass auf dem Gerät keinerlei Benachrichtigung erscheint.
Die weiteren vier Sicherheitslücken, die in diesem Sicherheitshinweis für den SAP Fiori Mobile Client behoben wurden, sind: 1) eine DoS-Schwachstelle (CVE-2018-2488), die es einer böswilligen Anwendung ohne Sonderrechte ermöglicht, die Fiori-Mobile-App zum Absturz zu bringen, sodass sie für den Benutzer nicht mehr verfügbar ist; 2) eine Remote-HTML-Injection (CVE-2018-2491), die unter bestimmten Umständen die Ausführung von beliebigem Remote-JavaScript oder eine Open-Redirect-Schwachstelle ermöglicht, die von einem Angreifer ferngesteuert und ohne Authentifizierung kontrolliert wird, jedoch die Interaktion des Benutzers mit dem App-Protokoll-Viewer erfordert; 3) und 4) sind Schwachstellen aufgrund fehlender Autorisierungsprüfungen, die es einer beliebigen Android-App ermöglichen, Daten der Fiori-Client-SSO-Konfiguration zu löschen (CVE-2018-2489), und die letzte ermöglicht es einer nicht authentifizierten Anwendung, sensible Informationen aus Broadcasts abzufangen (zu empfangen) (CVE-2018-2490), bevor die legitime SAP-Fiori-Client-App dies tut.
Wir empfehlen allen SAP-Fiori-Nutzern dringend, die SAP-Fiori-Client-Version 1.11.5 aus dem Google Play Store auf ihren Mobilgeräten zu installieren, wie in der SAP-Sicherheitsmitteilung empfohlen #2691126. Mittlere und große Unternehmen können eine Mobile-Device-Management-Software (MDM) nutzen, um ein solches Client-Update zu pushen oder durchzusetzen. Wir raten außerdem dazu, die Installation nicht vertrauenswürdiger Anwendungen auf den Mobilgeräten der Benutzer generell zu vermeiden. Wie bereits beschrieben, ist dies die Methode des Angreifers, um das Mobilgerät zu kompromittieren. Beachten Sie, dass die Versionen der SAP-Fiori-Client-App nicht von OSP überprüft werden können.
Ein heute veröffentlichter dritter Sicherheitshinweis, der sich auf eine weitere von Onapsis gemeldete Sicherheitslücke bezieht, ist mit der Prioritätsstufe „Mittel“ gekennzeichnet. Es handelt sich um den Hinweis Nr. 2695896 und behebt eine neue Sicherheitslücke, die die Android-Anwendung SAP Mobile Secure betrifft, die umbenannte SAP Afaria. Durch Ausnutzung dieser Sicherheitslücke kann eine böswillige Anwendung ohne Sonderrechte einen Denial-of-Service der Anwendung verursachen, was direkte Auswirkungen auf die Verfügbarkeit für Endbenutzer hat.
Diese Android-Anwendung ist der unter neuem Namen angebotene, gut be
e SAP-Afaria-Android-Client. Es handelt sich um den mobilen Client für den SAP-Afaria-Server 7, der Unternehmen die Möglichkeit bietet, ihre Mobilgeräte-Landschaften zu verwalten und die Bereitstellung sowie Wartung von Smartphones und Tablets zu vereinfachen. Diese Software ist eine MDM-Lösung.
Die Sicherheitslücke befindet sich in einem Broadcast-Receiver der SAP Mobile Secure-Anwendung. Sie wurde vom Onapsis-Forscher Yvan Genuer entdeckt, und ihre Ausnutzung funktioniert wie folgt. Ein Angreifer könnte eine nicht autorisierte Anwendung fälschen, die nach der Installation auf einem Endgerät die SAP Mobile Secure-Anwendung ohne weitere Benutzerinteraktion zum Absturz bringen (beenden) kann. Dies führt zu einem Verlust der Verwaltungs- und control SAP Mobile Secure dem Mobilgerät und dem MDM-Administrator bietet, da der Agent nicht mehr funktioniert. Der Mobilgerätebenutzer würde die Situation nicht bemerken, es sei denn, er ist mit den Anzeichen für die Aktivität dieser Client-Software vertraut.
Wir empfehlen dringend, jedes mobile System gemäß den Empfehlungen des SAP-Sicherheitshinweises zu aktualisieren. Das neueste Update für diesen Client ist die Version 6.60.19942.0, die im Google Play Store verfügbar ist. Da es sich um eine mobile SAP-App auf Client-Seite handelt, kann sie nicht durch unsere OSP-Lösung überprüft werden.
Aktuelle Nachrichten und wichtige Hinweise
Zu den wichtigsten von SAP in diesem Monat veröffentlichten Themen gehört eines aktuelle Meldung und fünf Sicherheitshinweise Sicherheitshinweise. Die „Hot News“ für November ist der Hinweis Nr. 2681280 für HANA Streaming Analytics, da in einer von diesem Produkt verwendeten Bibliothek eines Drittanbieters eine Sicherheitslücke mit hoher Bewertung (CVSS v3 9,9/10) festgestellt wurde. Es handelt sich um die Spring Framework Library, die Schwachstellen für die Remote-Code-Ausführung aufweist und nicht nur dieses SAP-Produkt, sondern auch andere betrifft. Es wird empfohlen, den Anweisungen des Sicherheitshinweises zu folgen und das entsprechende Support-Paket zu installieren, falls Sie das betroffene Produkt in Ihrer HANA-Landschaft einsetzen.
Zusätzlich zu den bereits ausführlich beschriebenen Sicherheitshinweisen mit hoher Priorität hat SAP drei weitere wie folgt veröffentlicht. Der SAP-Sicherheitshinweis Nr. 2701410 bezieht sich auf eine Zip-Slip-Sicherheitslücke, die im Produkt SAP Disclosure Management gefunden wurde. Diese Sicherheitslücke besteht in einem Fehler an der Stelle, an der die Dateien beim Entpacken geschrieben werden. Es handelt sich um eine weit verbreitete Sicherheitslücke, da sie in vielen häufig verwendeten Bibliotheken ihren Ursprung hat. Diese Sicherheitslücke kann ausgenutzt werden, wenn ein bösartiges Archiv durch einen anfälligen Entpackungscode verarbeitet wird. Damit kann ein Angreifer Daten löschen oder überschreiben, auf Remote-Dateien zugreifen, die er ausführen kann, oder den Inhalt beliebiger Dateien lesen. Der Patch verhindert das weitere Hochladen von speziell gestalteten komprimierten Dateien.
Wie bei der Notiz Nr. 2392860 vom letzten Monat, ist der Hinweis Nr. 2693083 denselben reservierten Transaktionscode aus einer anderen SAP-Standardrolle. Dieser Transaktionscode kann von jemandem mit Entwicklungsrechten missbraucht werden, der die Möglichkeit hat, ihn in ein Produktivsystem zu transportieren.
Die letzte Notiz mit dem Tag „Hohe Priorität “ ist eine erneut veröffentlichte Notiz, #2699726, über fehlende Netzwerkisolierung in Gardener, die eine aktualisierte Lösung für dieses Sicherheitsproblem enthält und empfiehlt, Gardener auf Version 0.12.4 oder höher zu aktualisieren.
Abschließend hier eine Übersicht über die Art der Fehler, die SAP diesen Monat im Rahmen seiner Sicherheitshinweise behoben hat:
In diesem Monat hat SAP Onapsisdurch zwei Forscher aus unseren Forschungslabors, Yvan Genuer und Gaston Traberg, die SAP dabei unterstützt haben, die Sicherheit und Integrität der IT-Systeme ihrer Kunden zu verbessern. Wie bei Onapsis üblich, werden wir auch weiterhin jeden Patch Tuesday unsere Analyse-Blogs zu den SAP Security Notes am Patch Day veröffentlichen und daran arbeiten, die Onapsis Security Platform aktualisieren Platform diese neu veröffentlichten Schwachstellen Platform berücksichtigen. So können unsere Kunden überprüfen, ob ihre Systeme auf dem neuesten Stand der SAP Security Notes sind, und sicherstellen, dass diese Systeme mit dem erforderlichen Sicherheitsniveau konfiguriert sind, um ihre Audit- und Compliance-Anforderungen zu erfüllen.
Bitte folgen Sie unserem ERP-Sicherheitsblog oder folgen Sie uns auf Twitter , um weitere Informationen zu den neuesten SAP-Sicherheitsproblemen zu erhalten.