SAP-Sicherheitshinweise November 2016 – Die Rückkehr der OS-Befehlsinjektion
SAP hat heute 13 Sicherheitshinweise veröffentlicht, von denen zwei als „Hot News“ gekennzeichnet wurden. Diese beiden Sicherheitslücken wurden vor einigen Monaten von den Onapsis Research Labs entdeckt Onapsis Research Labs stellen die wichtigsten Updates dar, die Sie installieren müssen, um Ihre SAP-Systeme angemessen zu schützen. Beide Hinweise beziehen sich auf Code-Injection-Angriffe, zu denen wir kürzlich Sicherheitshinweise veröffentlicht und die wir hier ausführlich erörtert haben.
Wie an jedem zweiten Dienstag im Monat veröffentlicht SAP neue SAP-Sicherheitshinweise, um die Systeme mit Code-Verbesserungen auf dem neuesten Stand zu halten, die verschiedene Arten von Sicherheitslücken beheben. Seit dem letzten Patch Tuesday bis heute hat SAP 17 neue Sicherheitshinweise veröffentlicht, die verschiedene Arten von Sicherheitslücken betreffen , die behoben wurden, darunter unter anderem Code-Injection, Denial-of-Service, fehlende Berechtigungsprüfung und Cross-Site-Scripting (XSS):
Auch wenn in diesem Monat nicht viele Sicherheitslücken behoben wurden (es ist der erste Monat seit Mai mit weniger als 20 Hinweisen), ist das kein Grund, sich zurückzulehnen. Nachstehend finden Sie die Priorität und den Schweregrad der in diesem Monat behobenen SAP-Sicherheitshinweise:
Wie zu sehen ist, ist der Schweregrad der SAP-Sicherheitshinweise dieses Monats so hoch, dass die Installation der Patches so schnell wie möglich Priorität haben sollte. Bemerkenswert ist, dass zwei der Sicherheitslücken dieses Monats als „Hot News“ gekennzeichnet sind, da SAP seit Juli 2016 keine „Hot News“ mehr veröffentlicht hat und es sich hierbei um zwei von insgesamt neun „Hot News“-Meldungen handelt, die im Jahr 2016 veröffentlicht wurden (vier davon wurden von Onapsis gemeldet).
Aktuelle Meldung: Code- und OS-Befehlsinjektion
Wie bereits erwähnt, gibt es in diesem Monat zwei wichtige Meldungen, die auf Onapsis Research Labs zurückgehen. Beide beziehen sich auf Code-Injection-Angriffe und sind mit einem hohen Risiko (CVSS v3-Score von 9,1 Punkten) bewertet. Der Grund dafür ist, dass beide Schwachstellen die Vertraulichkeit, Verfügbarkeit und Integrität auf anfälligen Systemen gefährden könnten. Wie in einem früheren Blogbeitrag zu OS-Command-Injection gezeigt, beheben beide Meldungen eine unsachgemäße Bereinigung von Parametern für OS-Befehle. Wird dies nicht behoben, könnte ein Angreifer neue Befehle mit Sonderzeichen einfügen, wie im folgenden Beispiel gezeigt: (benutzerdefinierte Funktion, die zu Informationszwecken erstellt wurde)
Im vorherigen Bild wartet die Funktion auf einen Wert, um auf ein Verzeichnis zuzugreifen, doch durch Hinzufügen des Zeichens „;“ kann ein Angreifer einen neuen Befehl einfügen, der auf dem Remote-System ausgeführt wird.
Die erste in diesem Monat behobene Sicherheitslücke, eine Code-Injection-Schwachstelle bei der Textkonvertierung ( 2371726), wurde behoben, indem nur bestimmte gültige Zeichen als Parameter zugelassen wurden, wodurch die Möglichkeit ausgeschlossen wurde, zusätzliche Befehle zur Ausführung einzufügen. Bei der zweiten Sicherheitslücke, einer OS-Command-Injection-Schwachstelle im Bericht für den Terminologieexport (2357141), wurden die betroffenen Codezeilen direkt gelöscht, da sie veraltet sind und nicht mehr benötigt werden.
In beiden Fällen sind keine weiteren Schritte erforderlich, damit der Hinweis wirksam wird; die Umsetzung beschränkt sich somit auf die Installation der SAP-Sicherheitshinweise. Es ist wichtig zu erwähnen, dass beide Hinweise bestimmte Berechtigungen erfordern und nicht von beliebigen Benutzern oder gar anonymen Angreifern ausgenutzt werden können. Ungeachtet dessen sollten interne Angreifer in jedem Bedrohungsmodell oder Schutzkonzept weiterhin berücksichtigt werden.
SAP-Hinweise mit hoher Priorität
Neben den beiden oben genannten aktuellen Meldungen gibt es außerdem zwei SAP-Sicherheitshinweise, die als „hohe Priorität“ eingestuft sind:
- Offenlegung von Informationen im SAP Software Update Manager (2366512): Dieser Hinweis korrigiert die Darstellung von Passwörtern im Klartext in bestimmten Protokolldateien. Obwohl das definierte CVSS-Risiko auf einer hohen Gefährdung der Vertraulichkeit basiert, könnte diese Art von Schwachstelle nicht nur zur Offenlegung von Informationen führen, sondern je nach dem Benutzer, der Zugriff auf diese Informationen hat, und den Berechtigungen der offengelegten Passwörter auch zu Identitätsdiebstahl, größeren Betrugsfällen und anderen Integritätsrisiken. CVSS v3-Basiswert: 7,5 / 10
- Denial-of-Service (DOS) im Message Server (2358972): Bei dieser Art von Sicherheitslücke hängt das Risiko von Verfügbarkeitsproblemen ab. In diesem speziellen Fall und abhängig von Ihrer SAP-Konfiguration könnte ein Verfügbarkeitsproblem im Message Server dazu führen, dass sich ein Benutzer nicht mehr am System anmelden kann. CVSS v3-Basiswert: 7,5 / 10
Die Onapsis Research Labs derzeit daran, die Onapsis Security Platform zu aktualisieren, Platform diese neu veröffentlichten Sicherheitslücken zu berücksichtigen. So können Sie überprüfen, ob Ihre Systeme auf dem neuesten Stand der aktuellen SAP-Sicherheitshinweise sind, und sicherstellen, dass diese Systeme mit dem erforderlichen Sicherheitsniveau konfiguriert sind, um Ihre Audit- und Compliance-Anforderungen zu erfüllen. Seien Sie gespannt auf die Analyse der SAP-Sicherheitshinweise im nächsten Monat.
Pablo Artuso, unser junger Forscher, wurde diesen Monat auf der SAP-Anerkennungsseite für die Entdeckung der beiden „Hot News“-Sicherheitslücken gewürdigt. Herzlichen Glückwunsch, Pablo! Seid gespannt auf die Analyse der SAP-Sicherheitshinweise im nächsten Monat.