SAP Security Patch Day November 2020: SAP Solution Manager erneut von zwei schwerwiegenden Sicherheitslücken betroffen

Von:

10. November 2020

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom November gehören:

  • Zusammenfassung für November– 19 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter sechs HotNews-Hinweise und drei Hinweise mit hoher Priorität
  • Beitrag der Onapsis Research Labs– Die Onapsis Research Labs SAP bei der Behebung von zwei „HotNews“- und zwei „Medium Priority“- Sicherheitshinweisen, die insgesamt fünf Sicherheitslücken betrafen
  • Kritisches Chromium-Update– Der CVSS-Wert des regelmäßig wiederkehrenden SAP-Sicherheitshinweises Nr. 2622660, der den höchsten jemals verzeichneten Wert widerspiegelt, wurde von 9,8 auf 10 angehoben

SAP hat an seinem Patch Day im November 19 neue und aktualisierte Sicherheitshinweise veröffentlicht. Darunter befinden sich sechs „HotNews“-Hinweise und drei Hinweise mit hoher Priorität.

Der SAP Solution Manager (SolMan) steht auch in diesem Monat wieder im Mittelpunkt des SAP Patch Day. SAP hat zwei Sicherheitslücken fürdiese wichtige technische Komponente behoben,die in jeder Kundenlandschaft vorhanden ist – beide wurden mit einem CVSS-Score von 10 bewertet. Während Aktualisierungen bestehender Notes oft nur geringfügige Erweiterungen und Korrekturen am Text einer Note enthalten, zeigt die SAP-Sicherheitsnote Nr. 2890213, dass sie auch zusätzliche Patches für neu entdeckte Schwachstellen enthalten können. Und als ob zwei kritische Patches nicht schon genug wären, ist neben anderen SAP-Anwendungen auch SAP SolMan von einer Schwachstelle zur Rechteausweitung im SAP NetWeaver Application Server Java betroffen.

Ein weiterer bemerkenswerter Aspekt des SAP-Patch-Days im November ist die Tatsache, dass der regelmäßig erscheinende SAP-Sicherheitshinweis für den SAP Business Client Nr. 2622660 nun mit einem CVSS-Wert von 10 versehen ist.

Weitere Einzelheiten und eine Zusammenfassung aller kritischen SAP-Sicherheitshinweise finden Sie in den folgenden Abschnitten.

Im Fokus: SAP Solution Manager

Nachdem die Onapsis Research Labs in der Vergangenheit durch die Behebung mehrerer kritischer Probleme im LM-Service einen Beitrag zur SAP-Sicherheit geleistet hatten, Onapsis Research Labs ein weiteres Problem mit diesem Dienst, das das Support Package 11, Patch-Level 2, der Softwarekomponente SOLMANDIAG 720 betraf. Die Schwachstelle ermöglichte es authentifizierten Angreifern, aus der Ferne beliebige Befehle in den verbundenen SMDAgents auszuführen. Der entsprechende Patch wurde nun mit einem Update der SAP-Sicherheitsnotiz Nr. 2890213 mit dem Titel „[CVE-2020-6207] Fehlende Authentifizierungsprüfung im SAP Solution Manager“ veröffentlicht und mit der höchstmöglichen CVSS-Bewertung von 10 versehen.

Der SAP-Sicherheitshinweis Nr. 2985866 ist ebenfalls mit einem CVSS-Wert von 10 versehen und behebt weitere Probleme im Zusammenhang mit fehlender Authentifizierung in der Softwarekomponente LM-Service. Diese Probleme beeinträchtigen die Integrität und Verfügbarkeit dieses Dienstes sowie von vier davon abhängigen Diensten.

Nicht zuletzt umfasst die Reihe der HotNews-Hinweise, die SAP SolMan betreffen, auch den SAP-Sicherheitshinweis Nr. 2979062, der mit einem CVSS-Wert von 9,1 versehen ist. Die Onapsis Research Labs dieses Problem vor einigen Wochen Onapsis Research Labs und SAP bei der Behebung der Sicherheitslücke unterstützt. Der Patch behebt einen Fehler im SAP NetWeaver Application Server Java, der es authentifizierten Benutzern in SAP ermöglicht, auf OS-Befehle im anfälligen System zu eskalieren und somit zu einer vollständigen Kompromittierung aller darauf laufenden Dienste und Informationen zu führen. Der Hinweis behebt die Trennung zwischen dem Betriebssystem und der JAVA NetWeaver-Webschnittstelle, die von entscheidender Bedeutung ist und streng isoliert sein sollte. SAP NetWeaver AS Java-Administratoren sollten keinen Zugriff auf das Betriebssystem des SAP-Systems haben. SAP NetWeaver AS Java dient als grundlegende Ebene für mehrere SAP-Produkte, wie beispielsweise Solution Manager, SAP Portal, SAP PI/PO und andere.

Ein weiterer Beitrag der Onapsis Research Labs

Der Onapsis-Forscher Gaston Traberg entdeckte mehrere Sicherheitslücken in Cloud SAP Commerce Cloud von SAP ebenfalls am diesjährigen Patch Day im November behoben wurden.

Der Hinweis mit hoher Priorität Nr. 2975170 behebt eine Denial-of-Service-Sicherheitslücke mit einem CVSS-Wert von 7,5 sowie eine serverseitige Request-Forgery-Sicherheitslücke mit einem CVSS-Wert von 5,3. Beide Sicherheitslücken ermöglichen es einem nicht authentifizierten Angreifer, über das Netzwerk eine speziell gestaltete Anfrage an eine bestimmte URL eines SAP-Commerce-Moduls zu senden, die ohne weitere Interaktion verarbeitet wird. Während ein Ausnutzen der ersten Schwachstelle zu einer vollständigen Nichtverfügbarkeit des SAP-Commerce-Dienstes führen kann, führt das Ausnutzen der zweiten Schwachstelle lediglich dazu, dass Zugriff auf begrenzte Informationen über den Dienst erlangt wird.

Der Hinweis mit hoher Priorität Nr. 2975189, der ebenfalls mit einem CVSS-Wert von 7,5 versehen ist, betrifft eine Sicherheitslücke in Cloud SAP Commerce Cloud, die zur Offenlegung von Informationen führen kann. Ein Angreifer kann über einen speziellen Endpunkt in SAP Commerce bestehende Authentifizierungs- und Berechtigungsprüfungen umgehen und so Zugriff auf „Secure Media“-Ordner erlangen. Diese Ordner könnten sensible Dateien enthalten, was zur Offenlegung vertraulicher Informationen führen und die Vertraulichkeit der Systemkonfiguration beeinträchtigen könnte.

Weitere wichtige SAP-Sicherheitshinweise im November

Im Durchschnitt alle zwei Monate veröffentlicht SAP Updates für den HotNews -SAP-Sicherheitshinweis Nr. 2622660, die eine neue Version von Chromium enthalten, die mit dem SAP Business Client-Patch ausgeliefert wird. Der zugehörige CVSS-Wert basiert stets auf dem höchsten jemals verzeichneten Wert aller behobenen Schwachstellen. Während sich dieser Wert über ein Jahr lang nicht verändert hat, ist er nun mit dem neuesten Patch von 9,8 auf 10 gestiegen. Der Anstieg scheint durch eine kritische Schwachstelle (CVE-2020-15967) in der Zahlungskomponente von Chrome verursacht worden zu sein. Nach Angaben von Google handelt es sich bei der Schwachstelle um eine „Use-after-free“-Schwachstelle. „Use-after-free“ ist eine Speicherbeschädigungsschwachstelle, bei der versucht wird, auf Speicher zuzugreifen, nachdem dieser freigegeben wurde. Dies kann verschiedene schädliche Auswirkungen haben, vom Absturz eines Programms bis hin zur potenziellen Ausführung von beliebigem Code. Betrachtet man alle drei Referenzen für das neueste Chromium-Update, machen „Use-after-free“-Schwachstellen mehr als 30 % aller Schwachstellen aus – die meisten davon sind als „High Priority“ eingestuft.

Aktuelles: Der SAP-Sicherheitshinweis Nr. 2982840 behebt eine Sicherheitslücke, die die Ausführung von Remote-Code ermöglicht (CVSS 9,8), sowie eine Denial-of-Service-Sicherheitslücke (CVSS 7,5) in SAP Data Services. Eine unzureichende Eingabevalidierung ermöglicht es einem nicht authentifizierten Angreifer, böswillige Anfragen zu senden, die zur Ausführung von Remote-Code und damit zu einer vollständigen Gefährdung der Vertraulichkeit, Integrität und Verfügbarkeit des Systems führen können.

Die zweite Sicherheitslücke ermöglicht es einem nicht authentifizierten Angreifer, Zugriffsberechtigungen zu umgehen, was die Verfügbarkeit des Dienstes vollständig gefährden kann.

Aktuelles: Der SAP-Sicherheitshinweis Nr. 2928635, der eine Cross-Site-Scripting-Sicherheitslücke in SAP NetWeaver Knowledge Management behebt und mit einem CVSS-Wert von 9 bewertet wurde, wurde ursprünglich im August 2020 veröffentlicht. Er enthält aktualisierte Informationen zur Behebung des Problems für NetWeaver 7.50 SP12.

Der SAP-Sicherheitshinweis Nr. 2984627 mit hoher Priorität behebt eine Server-Side Request Forgery-Sicherheitslücke und eine Reflected Cross-Site Scripting-Sicherheitslücke in der SAP-Fiori-Launchpad-News-Tile-Anwendung. Die erste Sicherheitslücke ist mit einem CVSS-Score von 8,6 bewertet und ermöglicht es unbefugten Angreifern, auf vertrauliche Daten in internen Systemen hinter Firewalls zuzugreifen. Eine unzureichende Kodierung von benutzergesteuerten Eingaben ermöglicht die Ausnutzung der zweiten Schwachstelle. Ein Angreifer könnte bösartigen Code an einen anderen Endbenutzer senden und so an Informationen gelangen, die im Browser dieses Endbenutzers gespeichert sind.

Zusammenfassung und Schlussfolgerungen

Mit 19 SAP-Sicherheitshinweisen seit dem letzten SAP-Patch-Day, darunter sechs „HotNews“-Hinweise und drei Hinweise mit hoher Priorität, liegt dieser Monat hinsichtlich der Anzahl kritischer Hinweise über dem Durchschnitt. Es hat sich erneut gezeigt, dass der Solution Manager die Sicherheitsadministratoren auf Trab halten wird, da er eine zentrale Rolle in der Systemlandschaft spielt und die neu entdeckten Schwachstellen von kritischer Bedeutung sind. Onapsis empfiehlt, die veröffentlichten Patches so schnell wie möglich zu installieren.

SAP-Sicherheitshinweise November 2020

Wie immer Onapsis Research Labs die Onapsis Research Labs bereits Onapsis Research Labs , die Platform aktualisieren Platform die neu veröffentlichten Sicherheitslücken in das Produkt Platform integrieren, damit unsere Kunden ihre Unternehmen schützen können.

Weitere Informationen zu den jüngsten Sicherheitslücken im SAP Solution Manager und dazu, Onapsis Research Labs SAP Onapsis Research Labs deren Behebung Onapsis Research Labs , finden Sie in unserer aktuellen SAP Security In-depth-Publikation „Preventing Cyberattacks Against SAP Solution Manager“.

Stichworte
Über den Autor

Thomas Fritsch

Als führender SAP-Sicherheitsforscher bei Onapsis gilt Thomas Fritsch als anerkannte Autorität in den Bereichen vulnerability management und neue Bedrohungen. Aufgrund seiner langjährigen Erfahrung als SAP-Experte konzentriert er sich auf hochtechnische Bereiche wie die Konfiguration von SAP-Systemen und das Transportmanagement. Thomas’ Analysen der neuesten SAP-Sicherheitspatches und -Schwachstellen sind ein zentraler Bestandteil der Forschungsarbeit, die Unternehmen die fundierten und umsetzbaren Erkenntnisse liefert, die sie zum Schutz ihrer Systeme benötigen. Seine Rolle als angesehener Redner und Autor festigt seinen Ruf als maßgebliche Stimme im Bereich der SAP-Cybersicherheit und trägt dazu bei, die Lücke zwischen komplexer Forschung und praktischen Sicherheitsmaßnahmen in der realen Welt zu schließen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen