SAP-Sicherheitshinweise Oktober 2017: Offenlegung sensibler Daten

Von:

10. Oktober 2017

Da heute der zweite Dienstag des Monats ist, hat SAP erneut eine Reihe von Notes veröffentlicht, um in seiner Software gefundene Sicherheitslücken zu beheben. Im Laufe des Monats, gerechnet ab dem letzten Patch-Dienstag, wurden insgesamt 30 neue Notes veröffentlicht. Heute wurde die Hälfte dieser Notes veröffentlicht. 

In diesem Monat haben fünf Meldungen hohe Priorität, vier niedrige Priorität und die übrigen Meldungen mittlere Priorität. Es wurden keine neuen „Hot News“-Meldungen gemeldet, womit sich der Trend fortsetzt, über den wir im letzten Monat berichtet haben, als wir erörterten,was das Fehlen solcher Meldungen bedeuten könnte

Die in diesem Monat gemeldeten Sicherheitslücken sind sehr unterschiedlich und betreffen verschiedene Produkte auf unterschiedliche Weise. So gibt es beispielsweise Meldungen mit hoher Priorität zu DDoS-Möglichkeiten, zur Ausweitung von Berechtigungen und zu Verzeichnisüberläufen in Produkten wie dem SAP Standalone Enqueue Server, SAP Landscape Management und dem SAP NetWeaver AS Java Web Container. Mehr zu diesen Meldungen mit hoher Priorität erfahren Sie weiter unten in diesem Beitrag. 

Vier von Onapsis entdeckte Sicherheitslücken wurden diesen Monat von SAP behoben und veröffentlicht. Diese Hinweise werden später in diesem Beitrag näher erläutert. Zwei der gefundenen Probleme betreffen SAP For Defense, worüber wir bereits in unseremBlogbeitrag vom Januar berichtet haben.

Von den 30 Hinweisen wurden acht nach ihrer früheren Veröffentlichung mit Änderungen erneut veröffentlicht. Die Hinweise Nr. 2264948und Nr. 2264949verdienen besondere Beachtung, da die von SAP veröffentlichten Änderungen in Bezug auf manuelle Aktivitäten erheblich sind. Der SAP-Sicherheitshinweis Nr. 2528596, der SAP Point of Sale betrifft, wurde inunserem Blogbeitrag vom letzten Monatbehandelt und wurde mit einigen geringfügigen Änderungen hinsichtlich der Softwaregültigkeit neu veröffentlicht.

SAP-Hinweise mit hoher Priorität

Nachfolgend finden Sie eine Übersicht über die Sicherheitshinweise mit hoher Priorität. Der Sicherheitshinweis mit dem höchsten CVSS-v3-Wert wird an erster Stelle genannt, handelt sich jedoch um eine Neuauflage mit aktualisierten Informationen zum Support-Paket. Die beiden letzten Sicherheitshinweise, die gemeinsam aufgeführt sind, erfordern mehrere manuelle Schritte und sollten daher sorgfältig geprüft werden.

  • Verzeichnis-Traversal-Schwachstelle im SAP NetWeaver AS Java Web Container (#2486657): Dieser Hinweis ist eine der zuvor erwähnten Neuveröffentlichungen und wurde bereitsin unserem Blogbeitrag vom August behandelt. Diese Art von Angriffen beeinträchtigt stets die Vertraulichkeit von Informationen, da sie es einem Angreifer ermöglicht, beliebige Dateien zu lesen, auf die kein Zugriff gewährt werden sollte. Aufgrund der hohen Auswirkungen auf die Vertraulichkeit weist dieser Fall erneut den höchsten CVSS-Wert dieses Monats auf. Sie ist jedoch nicht kritisch, da keine Auswirkungen auf die Verfügbarkeit oder Integrität bestehen und ein Angriff mit entsprechenden Berechtigungen durchgeführt werden müsste. Ein AS Java Web Container ohne ordnungsgemäße Validierung von Pfadinformationen könnte Auswirkungen haben, da ein Angreifer den Inhalt beliebiger Dateien auf dem Remote-Server lesen und so sensible Daten offenlegen könnte.

CVSS v3-Basiswert: 7,7 / 10

  • Mögliche Denial-of-Service-Sicherheitslücke im SAP Standalone Enqueue Server (#2476937): Der Standalone Enqueue Server stellt AS-ABAP- und AS-Java-Instanzen eine Enqueue-Funktion zur Verfügung. Der Enqueue Server bietet einen Sperrdienst an, und die sperrenden Clients (die Anwendungsserver) kommunizieren über TCP direkt mit diesem Server. Der Enqueue-Server speichert kritische Daten in der Sperrtabelle im Hauptspeicher: alle Sperren, die derzeit von Benutzern gehalten werden. Diese Schwachstelle ermöglicht es einem Angreifer, den Enqueue-Server aus der Ferne auszunutzen und dessen Ressourcen unzugänglich zu machen. Daten auf diesem Server könnten dann verloren gehen und lassen sich auch nach einem Neustart des Enqueue-Servers nicht wiederherstellen. Alle Transaktionen, die Sperren gehalten haben, müssten daher zurückgesetzt werden.

CVSS v3-Basiswert: 7,5 / 10

  • Offenlegung von Informationen/Erweiterung von Berechtigungen LVM 2.1 und LaMa 3.0 (#2531241),Offenlegung von Informationen/Erweiterung von Berechtigungen LaMa 3.0 (#2520772): Die beiden oben genannten Hinweise können im Wesentlichen in einem Atemzug genannt werden, da die Art der gefundenen Schwachstellen identisch ist. SAP Landscape Management (LaMa) ist der neue Name für das SAP-Produkt, das früher Landscape Virtualization Management (LVM) hieß.LaMa ist ein Management-Tool, das es dem SAP-Basis-Administrator ermöglicht, den Betrieb von SAP-Systemen zu automatisieren. LaMa benötigt für den Betrieb die Passwörter der verwalteten Systeme. Während des Betriebs werden relevante Daten benötigt, um einen Prozess aus Wiederherstellungsgründen neu zu starten. Vertrauliche Daten werden daher im NetWeaver Java Secure Store gespeichert. Auf diese Daten, die eigentlich nicht lesbar sein sollten, kann ein Angreifer unter bestimmten Bedingungen zugreifen. 

Onapsis Research

In diesem Monat wurden insgesamt vier von Onapsis gemeldete Sicherheitslücken behoben. Von diesen Fehlern hatten drei eine niedrige Priorität und einer eine mittlere Priorität. Sie werden im Folgenden erläutert.

Die ersten drei genannten Sicherheitslücken hängen in mehrfacher Hinsicht zusammen. Sie alle betreffen die Offenlegung von Informationen. In allen drei Fällen stellten die Forscher von Onapsis fest, dass sensible Daten im lokalen Verzeichnis des SAP NetWeaver Mobile Client gespeichert waren, wobei der Grad der Gefährdung unterschiedlich hoch war. 

  • Offenlegung von Informationen im SAP NetWeaver Mobile Client (#2532802):In diesem ersten Fall wurden Datenbank-Passwortdaten im Klartext im lokalen Verzeichnis gespeichert, wodurch ein Zugriff auf die lokale Datenbank möglich war. SAP hat Codeänderungen vorgenommen, um das Datenbank-Passwort zu verschlüsseln und im Windows-Zertifikatstool zu speichern. Der Klartext, der zuvor in der Datei„defaults.properties“gespeichert wurde, ist nicht mehr vorhanden.
  • Sicherheitslücke durch Offenlegung von Informationen im SAP NetWeaver Mobile Client (#2510269):In diesem Hinweis wurde die„truststore“-Schlüsseldateiim lokalen Verzeichnis gespeichert, wodurch sie entschlüsselt und zur Manipulation benutzerdefinierter Zertifikate verwendet werden konnte. Es wurden Codeänderungen vorgenommen, um eine sicherere Verschlüsselungsmethode zu implementieren. Der„truststore“-Hauptschlüsselwird nicht mehr im lokalen Verzeichnis des SAP NetWeaver Mobile Client gespeichert.
  • Offenlegung von Informationen im SAP NetWeaver Mobile Client (#2528284):Die Anmeldedaten des Benutzers wurden in einer Datei mit schwacher Verschlüsselung im lokalen Verzeichnis gespeichert. Die Verschlüsselung konnte leicht geknackt und manipuliert werden. SAP hat eine stärkere Verschlüsselung eingeführt, indem die Anmeldedatei entfernt und stattdessen der Windows-Zertifikatsspeicher verwendet wurde. 

Im Dienst„sapstartsrv“wurde eine weitere Sicherheitslücke mit mittlerer Schweregradstufe entdeckt.

  • Informationspreisgabe im SAP NetWeaver Instance Agent Service (#2504129):Ein nicht authentifizierter Angreifer könnte von einem entfernten Standort aus eine speziell gestaltete SOAP-Anfrage an den SAP-Dienst „sapstartsrv“senden und so Informationen über alle derzeit installierten Java-Anwendungen und -Dienste sowie deren aktuellen Status offenlegen. SAP hat diesen Fehler durch die Einführung einer korrekten Authentifizierung behoben. Der SAP-Hinweis enthält zudem eine Umgehungslösung als vorübergehende Abhilfe.

Wie immer werden unsere Forscher, die SAP bei der Verbesserung der Sicherheit unterstützen, diesen Monatauf der SAP-Webseite für ihre Arbeit gewürdigt. Onapsis Research Labs bereits daran, unser Produkt, die Onapsis Security Platform, zu aktualisieren, um diese neu veröffentlichten Sicherheitslücken zu berücksichtigen. Bleiben Sie auf dem Laufenden, um weitere Informationen zur SAP-Sicherheit zu erhalten, und zögern Sie nicht, sich an uns zu wenden, falls Sie weitere Fragen zum Schutz vor den Angriffen dieses Monats haben.

Stichwörter, , ,
Über den Autor

Waldo Spek

Waldo Spek ist ein versierter Experte für Cybersicherheit mit umfassender Erfahrung im Schutz von Unternehmenssystemen und im Management von IT-Sicherheitsrisiken. Als Spezialist für SAP-Sicherheit und Compliance hat Waldo eine entscheidende Rolle dabei gespielt, Unternehmen beim Schutz ihrer wichtigsten Geschäftsanwendungen zu unterstützen. Seine Fachkenntnisse im Bereich Schwachstellenmanagement, kombiniert mit seinem strategischen Ansatz zur Cyberabwehr, stellen sicher, dass Unternehmen gut gerüstet sind, um mit sich ständig weiterentwickelnden Bedrohungen umzugehen und gleichzeitig die Betriebsintegrität aufrechtzuerhalten.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen