SAP-Sicherheitshinweise Oktober 2018: Erster kritischer BusinessObjects-Hinweis seit fünf Jahren

Heute ist wieder der zweite Dienstag des Monats, und SAP hat anlässlich des Security Patch Day im Oktober eine Reihe von 12 neuen Sicherheitshinweisen veröffentlicht. Zusammen mit den acht weiteren Sicherheitshinweisen, die im Laufe des letzten Monats veröffentlicht wurden, ergibt dies insgesamt 20 Sicherheitshinweise. Zu den kritischsten gehört eine als „Hot News“ gekennzeichnete Sicherheitsmitteilung, die sich auf einen Sicherheitsfehler in der SAP BusinessObjects BI Suite bezieht, der den Zugriff auf Informationen ohne die erforderlichen Berechtigungen ermöglicht. Diese Mitteilung hat einen hohen CVSS v3-Basiswert von 9,8/10 und ist die erste Mitteilung für diese platform seit über fünf Jahren, die als „Hot News“ platform .

Andererseits gehört zu den Notizen mit hoher Priorität in diesem Monat die neu veröffentlichte Sicherheitsnotiz Nr. 2681207, die einen Sicherheitsfehler in der SAP HANA XS Engine behebt, der von den Onapsis Research Labsgemeldet wurde. Der Grund für die Neuveröffentlichung liegt nicht im Patch selbst, der keine Änderungen enthält, sondern betrifft eine technische Beschreibung des Hinweises. Im Abschnitt „Lösung“ hat SAP die zuvor als „Workarounds“ bezeichneten Maßnahmen in „Maßnahmen zur Verringerung der Angriffsfläche“ umbenannt, was hauptsächlich aus einer weiteren Erläuterung möglicher Schutzmaßnahmen besteht, die in OData-Softwarepaketen vorhanden sein könnten, die im klassischen Modell der Extended Application Services von HANA laufen.

Diese Sicherheitslücke, die im Blogbeitrag vom September beschrieben wurde, besteht in einem Fehler beim Parsen von XML-Datenstrings, der in den Anwendungen auftritt, die in der xsengine laufen. Zwei Ansätze zur Ausnutzung dieser Sicherheitslücke können entweder zu einem Denial-of-Service (DoS) der HANA-xsengine-Threads führen, wodurch das System nicht mehr reagiert, oder zu einem Absturz der xsengine-Threads, was einem Angreifer die Möglichkeit eröffnet, Code aus der Ferne auszuführen.

Eine subtile, aber auffällige Änderung des Titels der Sicherheitsmitteilung Nr. 2681207 – von„DOS-Sicherheitslücke in SAP HANA, Extended Application Services Classic Model“zu„Sicherheitslücke durch fehlende XML-Validierung in SAP HANA, Extended Application Services Classic Model“– rückt den Fehler bei der XML-Analyse in den Mittelpunkt. Dieser Titel erscheint passender, da er die Art des Fehlers widerspiegelt und die potenzielle Ausnutzung nicht auf einen DoS-Angriff beschränkt, wie wir ursprünglich in unserem Blogbeitrag vom letzten Monat über die beiden Ansätze zur Ausnutzung dieser Schwachstelle erörtert haben. Denken Sie daran, dass wir diesen Fehler aufgrund dieser Tatsache mit einem höheren CVSS-Wert gemeldet haben, da wir nicht nur die Auswirkungen auf die Verfügbarkeit, sondern auch auf die Integrität und Vertraulichkeit berücksichtigt haben. In der Realität könnte die Kritikalität höher sein als die derzeit in der Mitteilung angegebene, und es wird empfohlen, den Patch so schnell wie möglich zu installieren.

Wenn Sie die in diesem Hinweis genannten Patches bereits installiert haben oder über dasselbe oder ein höheres Support-Paket bzw. einen höheren Patch-Level verfügen, müssen Sie den Patch nicht erneut anwenden. Beachten Sie beim Beheben von Sicherheitslücken in HANA, dass SAP empfiehlt, die aktuellste verfügbare Version des Support-Pakets oder die neueste Revision des Patch-Levels zu installieren. Es ist daher nicht überraschend, dass, wie in diesem Fall, die in der SAP-Sicherheitsmitteilung angegebenen und verlinkten Patches zu einem höheren Patch-Level führen können oder gar nicht existieren, da ein neueres Support Package das in der Sicherheitsmitteilung vorgeschriebene ersetzt hat. Ist dies der Fall, installieren Sie bitte das neueste verfügbare.

Einer der beiden kritischen Sicherheitshinweise dieses Monats ist Nr. 2654905 und stellt die erste SAP BusinessObjects Hot News seit 2012 dar. Auch hier geht es um SAP BusinessObjects und eine Sicherheitslücke, die zur Offenlegung von Informationen führt. Ursache ist ein Fehler in einigen Skripten des Central Management Servers (CMS), die ohne ordnungsgemäße Berechtigungsprüfung ausgeführt werden können. Der CMS ist eine zentrale Komponente der SAP BusinessObjects BI Suite. Er verwaltet die Datenbank und die Berechtigungen der Benutzer, führt die Authentifizierung und Autorisierung durch und speichert die Informationen zu allen Servern, Ordnern, Berechtigungen und allgemeinen Konfigurationen.

Onapsis Research Labs auf die SAP BusinessObjects platform konzentriert, indem platform die Unterstützung für die Onapsis Security Platform erweitert platform die Suche nach Sicherheitslücken intensiviert wurde. Dies führte zu einigen wichtigen Erkenntnissen, wie beispielsweise der Schwachstelle#2644154, deren Behebung wir in unserem Blogbeitrag vom August gemeldet haben.

Aktuelle Meldungen und Sicherheitshinweise mit hoher Priorität
In diesem Monat hat SAP insgesamt zwei aktuelle Meldungen und fünf Sicherheitshinweise mit hoher Priorität veröffentlicht. Neben den beiden oben erläuterten Sicherheitshinweisen finden Sie die fünfte Neuauflage der wiederkehrenden aktuellen Meldung für den SAP Business Client#2622660. Dieser Hinweis enthält den Fix für eine Gruppe von 40 Chromium-Sicherheitslücken, von denen acht als „High“ eingestuft sind und die Teil des Business Client sind. Es wird empfohlen, auf die neueste Version des SAP Business Client zu aktualisieren, um zu verhindern, dass Benutzer Opfer einer Ausnutzung dieser Sicherheitslücken werden.

Von den übrigen vier Hinweisen mit hoher Priorität ist einer eine Neuauflage. Es sind keine Maßnahmen erforderlich, wenn dieser Hinweis, Nr. 2392860 „Ausnutzung von Berechtigungen durch Kundentransaktionscode“, bereits nach seiner Erstveröffentlichung im Februar 2017 installiert wurde. Er behebt die mögliche Nutzung eines reservierten Transaktionscodes, der in einer Standard-SAP-Rolle enthalten ist. Die Ausnutzung erfordert, dass ein böswilliger Benutzer diesen Code in einem Entwicklungssystem verwendet und diese Änderung in das Produktivsystem transportiert.

Im Fall des Sicherheitshinweises Nr. 2699726, [CVE-2018-2475] Fehlende Netzwerkisolierung in Gardener, ist der Zusammenhang mit einem SAP-Produkt nicht auf den ersten Blick erkennbar, es sei denn, man ist mit den Kubernetes-Containern vertraut, die in der von der SAP Cloud Platform genutzten Infrastruktur zum Einsatz kommen. Als Nutzer dieser platform empfiehlt SAP ein Update auf die Gardener-Version 0.12.2.

Ein wichtiger Sicherheitshinweis zu Umgebungen, in denen SAP-Systeme über die OPC-Standards (Open platform ) in Fertigungs- oder Industriesysteme integriert sind, ist der Hinweis Nr. 2674215 „Denial-of-Service (DoS) in OPC-UA-Anwendungen von SAP Plant Connectivity“. Die Sicherheitslücke wurde von der OPC Foundation erkannt und behoben. Der Hinweis enthält detaillierte Angaben zum erforderlichen Patch-Level für jede Plant-Connectivity-Version und jedes Support-Paket. Der letzte Sicherheitshinweis mit hoher Priorität#2696962 „Denial-of-Service-Sicherheitslücke (DoS) in SAP Foundation / Database“ betrifft Benutzer oder Entwickler des SAP Cloud Platform für iOS aufgrund einer Sicherheitslücke in der weit verbreiteten SQLite-Datenbank, die anfällig für lokale Denial-of-Service-Angriffe ist. Das Problem lässt sich sowohl durch die Installation des entsprechenden Patches als auch durch die Befolgung einiger einfacher Regeln für die Programmierung der mobilen Software beheben, die im Sicherheitshinweis detailliert beschrieben sind.

Abschließend hier eine Übersicht über die Art der Sicherheitslücken, die SAP diesen Monat im Rahmen seiner Sicherheitshinweise behoben hat:

SAP hat Onapsis in den letzten zwei Monaten durch drei Forscher aus unseren Forschungslabors gewürdigt: Martin Doyhenard, Gaston Traberg und Pablo Artuso, die SAP dabei unterstützt haben, die Sicherheit und Integrität der IT-Systeme seiner Kunden zu verbessern.

Wie bei Onapsis üblich, werden wir auch weiterhin jeden Patch Tuesday unsere Blogbeiträge zur Analyse der SAP-Sicherheitshinweise veröffentlichen und daran arbeiten, die Onapsis Security Platform zu aktualisieren, Platform diese neu veröffentlichten Sicherheitslücken Platform berücksichtigen. So können unsere Kunden überprüfen, ob ihre Systeme auf dem neuesten Stand der SAP-Sicherheitshinweise sind, und sicherstellen, dass diese Systeme mit dem erforderlichen Sicherheitsniveau konfiguriert sind, um ihre Audit- und Compliance-Anforderungen zu erfüllen.

Bitte abonnieren Sie unseren ERP-Sicherheitsblog oder folgen Sie uns auf Twitter, um weitere Informationen zu den neuesten SAP-Sicherheitsproblemen zu erhalten.