SAP-Sicherheitshinweise November 2017: Machen Sie es sich nicht zu bequem – „Hot News“ ist zurück
Heute hat SAP eine weitere Reihe seiner Sicherheitshinweise veröffentlicht – ein regelmäßiges Ereignis, das jeden zweiten Dienstag im Monat stattfindet. Die Gesamtzahl der Hinweise beläuft sich in diesem Monat auf 32, von denen 18 heute veröffentlicht wurden. Die übrigen 14 Hinweise wurden im Laufe des vergangenen Monats veröffentlicht. Bei diesen Hinweisen handelte es sich in der Regel um Neuauflagen.
Nach fast einem halben Jahr tauchen endlich wieder „Hot News“-Meldungen auf. Insgesamt drei in diesem Monat. Eine dieser „Hot News“-Meldungen wurde vom Onapsis-SicherheitsforscherPablo Artuso gemeldet. Mehr zum Auftauchen der „Hot News“-Meldungen später.
Zwei der Meldungen dieses Monats weisen einen hohen Schweregrad auf, eine einen geringen. Wie immer weist die überwiegende Mehrheit der übrigen Meldungen einen mittleren Schweregrad auf.
Verteilung nach Art der Schwachstelle
Von Zeit zu Zeit bündelt das Onapsis-Forschungsteam seine Kräfte, um über einen längeren Zeitraum hinweg gezielt nach Sicherheitslücken in einem bestimmten Technologiebereich zu suchen. Dies geschah auch bei SAP HANA 2 kurz nach dessen Veröffentlichung im November letzten Jahres. Es wurden zahlreiche Fehler gefunden, weshalb wir den letzten Abschnitt dieses Blogbeitrags der Erörterung von HANA-2-Sicherheitslücken gewidmet haben. Eine während dieser Onapsis-HANA-2-Fehlerjagd entdeckte Sicherheitslücke wurde diesen Monat von SAP veröffentlicht (#2493171). Der Fehler wurde von Onapsis-Forscher Nahuel Sanchez entdeckt und an SAP gemeldet. Es ist anzumerken, dass die Schwachstelle ein breiteres Spektrum an SAP-Komponenten betrifft als nur HANA 2. Im letzten Abschnitt dieses Blogbeitrags nutzen wir diesen Hinweis jedoch als Gelegenheit, HANA 2 und seine Schwachstellen etwas ausführlicher zu erörtern.
„Hot News“ sind zurück
Nach einer sechsmonatigen Durststrecke, in der keine „Hot News“-Meldungen erschienen sind, werden in diesem Monat drei Meldungen dieser Schwere veröffentlicht. In unseremBlogbeitrag vom September haben wir die Bedeutung des Ausbleibens solcher Meldungen erörtert. Wir kamen zu dem Schluss, dass dies durchaus darauf hindeuten könnte, dass die SAP-Sicherheit immer ausgereifter wird; dennoch dürfen wir uns nicht einfach auf unseren Lorbeeren ausruhen.
Die Pause bei den „Hot News“-Meldungen ist nun vorbei; allerdings betreffen diese neuen „Hot News“-Meldungen ausschließlich Neuauflagen früherer Meldungen. Eine der neu veröffentlichten „Hot News“-Meldungen (Nr. 2371726) wurde bereits im vergangenen Jahr vom Onapsis-Forschungsteam gemeldet. Sie betrifft eine Code-Injection-Sicherheitslücke mit einem CVSS-v3-Wert von 9,1 und wurde nun um einige zusätzliche Anweisungen zur Behebung ergänzt.
Eine Besonderheit beim erneuten Auftauchen der beiden anderen „Hot News“-Hinweise ist, dass sie aus Sicht von SAP eine höhere Schweregradstufe erhalten haben. Tatsächlich handelte es sich früher um Hinweise mit hoher Priorität, die nun in „Hot News“-Hinweise umgewandelt wurden. Bei den beiden genannten Hinweisen, die nun als „Hot News“ gelten, handelt es sich um folgende:
- Offenlegung von Informationen/Rechteausweitung LVM 2.1 und LaMa 3.0 (#2531241),Offenlegung von Informationen/Rechteausweitung LaMa 3.0 (#2520772): Die beiden oben genannten Hinweise können im Wesentlichen in einem Atemzug genannt werden, da die Art der gefundenen Schwachstellen identisch ist. SAP Landscape Management (LaMa) ist der neue Name für das SAP-Produkt, das früher Landscape Virtualization Management (LVM) hieß.LaMa ist ein Management-Tool, das es dem SAP-Basis-Administrator ermöglicht, den Betrieb von SAP-Systemen zu automatisieren. LaMa benötigt für den Betrieb die Passwörter der verwalteten Systeme. Während des Betriebs werden relevante Daten benötigt, um einen Prozess aus Wiederherstellungsgründen neu zu starten. Vertrauliche Daten werden daher im NetWeaver Java Secure Store gespeichert. Auf diese Daten, die eigentlich nicht lesbar sein sollten, kann ein Angreifer unter bestimmten Bedingungen zugreifen.
CVSS v3-Basiswert: 9,1 / 10
Bisher war diesen Hinweisen noch kein CVSS-v3-Wert zugewiesen worden, sie wurden von SAP jedoch als Hinweise mit hoher Priorität eingestuft. In diesem Monat wurden die CVSS-v3-Werte hinzugefügt; beide liegen bei 9,1 von 10. Das bedeutet, dass sie definitiv in die Kategorie „Aktuelles“ fallen sollten, und das tun sie auch.
Abgesehen von einem erfüllten CVSS-v3-Wert enthalten die Hinweise zwar geänderte manuelle Maßnahmen, doch der Grund für die erhöhte Schweregradstufung ist auf den ersten Blick nicht ersichtlich. Könnte SAP festgestellt haben, dass die Schwachstellen weitreichender waren als ursprünglich angenommen? Selbstgefälligkeit ist zweifellos ein Laster, vor dem sich alle Akteure der Branche hüten sollten.
Die SAP-HANA-2-Greenfield-
SAP HANA 2 wurde im November 2016 veröffentlicht und ist die Weiterentwicklung seines Vorgängers SAP HANA, der seit Mai 2013 existiert. Das Produkt SAP ist stark datenbankorientiert, und das Unternehmen SAP hat bereits durch eine Reihe verschiedener Entwicklungen und Übernahmen erhebliche Investitionen in die Verbesserung seiner Datenbanktechnologien getätigt.
Das Ergebnis ihrer Bemühungen war SAP HANA (High-Performance Analytic Appliance), eine In-Memory-Datenbank (RAM), die es ermöglicht, riesige Datenmengen schnell zu verarbeiten.Laut SAP„befreit SAP HANA Sie von der Last, separate Altsysteme und isolierte Datenbestände zu verwalten, sodass Sie in der neuen digitalen Wirtschaft in Echtzeit agieren und bessere Geschäftsentscheidungen treffen können.“
Inzwischen wurde SAP HANA von seiner platform der nächsten Generation abgelöst: SAP HANA 2. HANA 2 verspricht„…neue Funktionen für Datenbankmanagement, Datenmanagement, analytische Intelligenz und Anwendungsentwicklung“. Ein Upgrade von HANA auf HANA 2 dürfte unkompliziert sein, was im Grunde darauf hindeutet, dass die neue platform keine vollständige Neugestaltung und Überarbeitung der Vorgängerversion platform . Vielmehr handelt es sich um eine Weiterführung der bisherigen Produktlinie.
Wie bei jeder neuen Softwareversion oder platform eröffnet sich ein ganz neues Feld an Schwachstellen, die entdeckt und – im Falle böswilliger Absichten – ausgenutzt werden können. Unternehmen, die sich als Early Adopters dafür entscheiden, ganz vorne mit dabei zu sein, riskieren, den Luxus neuer Funktionen gegen ein erhöhtes Sicherheitsrisiko einzutauschen.
Bei Onapsis haben wir die Existenz vonZero-Day-Schwachstellenin HANA 2 von Anfang an erkannt und alle Kräfte mobilisiert, um den„Blackhats“zuvorzukommen. Kurz nach der Veröffentlichung von HANA 2 widmete sich ein Team von Onapsis-Sicherheitsforschern zu 100 % der Suche nach Fehlern speziell in der HANA platform. Dies führte zur Entdeckung von Dutzenden von Fehlern, die das gesamte Spektrum an Schwachstellen und CVSS-v3-Bewertungen abdeckten.
Inzwischen hat SAP insgesamt neun SAP-Hinweise zu Sicherheitslücken in HANA 2 veröffentlicht. Nicht alle diese Hinweise beziehen sich zwangsläufig auf HANA 2, aber sie gelten zumindest neben anderen Komponenten auch für HANA 2. Von den insgesamt neun Hinweisen wurde eine Mehrheit von sechs von Onapsis gemeldet. Zwei der von Onapsis gemeldeten Hinweise wiesen einen hohen Schweregrad auf (#2442993und#2429069).
Gemeldete SAP-Hinweise zu HANA 2
Auch in diesem Monat hat SAP eine Sicherheitslücke veröffentlicht und bestätigt, die im Rahmen unserer intensiven Forschungsarbeiten zu HANA 2 entdeckt wurde. Es muss jedoch erneut darauf hingewiesen werden, dass diese Sicherheitslücke nicht nur HANA 2 betrifft, sondern auch andere Komponenten. Der SAP-Hinweis Nr. 2493171mit dem Titel„Information Disclosure in SAP NetWeaver Instance Agent Service“enthält die entsprechenden Informationen.
Unsere konsequenten Bemühungen, Fehler in HANA 2 aufzuspüren, gehen weiter. Aber natürlich gibt es noch mehr zu untersuchen als nur HANA 2. Unser Sicherheitsteam setzt sich dafür ein, Ihre Systeme vor der gesamten Bandbreite an Risiken zu schützen: von „Greenfield“-Zero-Day-Schwachstellen bis hin zu Sicherheitslücken in älteren Komponenten.
Onapsis Research Labs bereits daran, unser Produkt, dieOnapsis Security Platform, zu aktualisieren, um alle neu veröffentlichten Sicherheitslücken zu berücksichtigen. Bleiben Sie auf dem Laufenden, um weitere Informationen zur SAP-Sicherheit zu erhalten, und zögern Sie nicht, sich an uns zu wenden, falls Sie weitere Fragen zum Schutz vor den Angriffen dieses Monats haben.