SAP Security Patch Day Oktober 2020: SAP Solution Manager und SAP Focused Run von zwei kritischen Sicherheitslücken betroffen

Von:

14. Oktober 2020

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Oktober gehören:

  • Zusammenfassung für Oktober—29 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter zwei HotNews-Hinweise und sieben Hinweise mit hoher Priorität
  • CA Introscope Enterprise ManagerOnapsis Research Labs zwei kritische SicherheitslückenOnapsis Research Labs , die Solution Manager und Focused Run betreffen
  • Cross-Site-Scripting—Mehr als 25 % aller Patches beheben eine Cross-Site-Scripting-Sicherheitslücke

SAP hat an seinem Patch-Tag im Oktober 29 neue und aktualisierte Sicherheitshinweise veröffentlicht. Darunter befinden sich zwei „HotNews“-Hinweise und sieben Hinweise mit hoher Priorität.

Die am stärksten betroffene Komponente dieses Patch-Tages ist der CA Introscope Enterprise Manager. Die Onapsis Research Labs zwei schwerwiegende Sicherheitslücken in dieser optionalen Softwarekomponente entdeckt, die zur Überwachung von Nicht-ABAP-Anwendungen und -Infrastrukturen in einer SAP-Landschaft eingesetzt wird, darunter eine HotNews-Meldung mit einem CVSS-Score von 10. Unter Berücksichtigung dieser beiden neuen entsprechenden Patches hat Onapsis SAP dabei unterstützt, im Jahr 2020 insgesamt drei HotNews-Schwachstellen mit einem CVSS-Score von 10 sowie neun weitere HotNews- und 13 High-Priority-Schwachstellen zu beheben. Das Fachwissen des Onapsis-Forschungsteams, das kontinuierlich in die Platform integriert wird, war einer der Gründe, warum SAP Onapsis und unsere führende Lösung für die Cybersicherheit und Compliance geschäftskritischer Anwendungen in sein „Endorsed Apps Program“ aufgenommen hat. Weitere Details finden Sie hier. Wie jeden Monat wollen wir nun die kritischsten SAP-Sicherheitshinweise mit weiteren Details analysieren. 

Im Fokus: CA Introscope Enterprise Manager

CA Introscope Enterprise Manager ist Teil von CA APM Introscope(R), einer Lösung für das Application Performance Management zur Verwaltung der Leistung von Java-Anwendungen. Mit der „Right to View“-Version (RTV) von CA APM Introscope liefert SAP eine schreibgeschützte Version des Vollprodukts aus, die im Lieferumfang des SAP Solution Manager (SolMan) enthalten ist. Diese Version unterstützt nur Produkte, die von SAP lizenziert und unterstützt werden. CA APM Introscope ist in die SolMan-Infrastruktur integriert. Während die CA Introscope Enterprise Manager direkt mit SolMan verbunden sind, laufen die Introscope-Host-Adapter (auch als Wily-Host-Agenten bekannt) innerhalb der SolMan-Diagnostik-Agenten (SMD-Agenten), die auf jedem von SolMan überwachten SAP-Host installiert sind.

SAP-Sicherheitshinweise Oktober

Die Onapsis Research Labs zwei kritische Sicherheitslücken in der Anwendung Onapsis Research Labs . Bei der ersten handelt es sich um eine Sicherheitslücke durch OS-Befehlsinjektion, die mit dem SAP HotNews-Sicherheitshinweis Nr. 2969828 behoben wurde. Dieser Hinweis ist der dritte im Jahr 2020, dem ein CVSS-Wert von 10 zugewiesen wurde. Betroffen sind alle Versionen von CA Introscope Enterprise Manager mit Release 10.7.0.304 oder niedriger. Die Schwachstelle kann es einem Angreifer ermöglichen, OS-Befehle einzuschleusen und so control vollständige control den Host zu erlangen, auf dem der CA Introscope Enterprise Manager ausgeführt wird. Der CVSS-Score von 10 berücksichtigt die Tatsache, dass ein Exploit aus der Ferne gestartet werden kann und keine Authentifizierung oder Sonderrechte erfordert.

Die von SAP empfohlene Lösung besteht darin, Introscope Enterprise Manager auf den höchsten Patch-Stand von Enterprise Manager 10.7 zu aktualisieren. 

Kunden, die Enterprise Manager 10.5 nutzen, haben zwei Möglichkeiten:

  1. There is a patch available for Enterprise Manager 10.5.2.113. Customers on versions < 10.5.2.113 have to patch to version 10.5.2.113 before they can apply the 10.5 patch
  2. 10.5-Kunden können auch direkt auf 10.7 aktualisieren. 

Vorteile von Option 2)

  • Das Upgrade auf 10.5.2.113 verläuft im Wesentlichen genauso wie das Upgrade auf 10.7
  • Der Support für Version 10.5 läuft ohnehin im Dezember 2020 aus
  • Die SolMan-Unterstützung für 10.7 ist umfassender als für 10.5

Möglicher Nachteil von Option 2)

  • Für Enterprise Manager 10.7 ist Solution Manager 7.2, SP05 oder höher erforderlich!

Die zweite Sicherheitslücke, die von den Onapsis Research Labs entdeckt wurde, wurde mit dem High-Priority-Hinweis Nr. 2971638 behoben und mit einem CVSS-Wert von 7,5 bewertet. Sie ermöglicht es einem Angreifer, die Authentifizierung zu umgehen, wenn die Standardpasswörter für „Admin“ und „Guest“ nicht geändert wurden.

Laut dem SAP-Sicherheitshinweis sind Kunden auf der sicheren Seite, wenn sie die Standardpasswörter der beiden Standardbenutzer ändern. Dennoch ist es das Ziel von SAP, „Security by Default“ zu gewährleisten, und daher enthält der Hinweis eine Patch-Lösung mit Optionen, die denen des Hinweises Nr. 2969828 sehr ähnlich sind:

If Enterprise Manager is updated to 10.7 SP0 Patch 2 or higher (the recommended approach for customers on versions < 10.5), no explicit patch is required. 

Aber denk daran: 

Für Enterprise Manager 10.7 ist SolutionManager 7.2, SP05 oder höher erforderlich!

There is the same patch available for Enterprise Manager 10.5 versions and 10.7 versions < SP0 Patch 2.

Nach dem Patchen müssen Kunden, die Standardkennwörter verwenden, neue Anmeldedaten für den Enterprise Manager festlegen. Zudem muss die Verbindung zwischen SAP Solution Manager/Focused Run und Introscope manuell wiederhergestellt werden. Weitere Informationen finden Sie im SAP-Sicherheitshinweis.

Weitere wichtige SAP-Sicherheitshinweise im Oktober

Die zweite HotNews-Meldung ist der bekannte SAP-Sicherheitshinweis Nr. 2622660, in dem ein weiteres Update der Chromium-Version angekündigt wird, die im SAP Business Client-Patch enthalten ist. Dieses Update behebt 25 Sicherheitslücken, von denen sieben als „High Priority“ eingestuft sind.

Zusätzlich zu dem im vorigen Abschnitt beschriebenen Hinweis mit hoher Priorität Nr. 2971638 hat SAP zwei neue Hinweisemit hoher Priorität veröffentlicht.

Der SAP-Sicherheitshinweis Nr. 2972661, der mit einem CVSS-Wert von 8,1 versehen ist, behebt eine Cross-Site-Scripting-Sicherheitslücke im SAP NetWeaver Composite Application Framework. Diese ermöglicht es einem nicht authentifizierten Angreifer, einen ahnungslosen, authentifizierten Benutzer dazu zu verleiten, auf einen bösartigen Link zu klicken. 

Der Browser des Endnutzers hat keine Möglichkeit zu erkennen, dass das Skript nicht vertrauenswürdig ist, und führt es daher aus, was dazu führt, dass sensible Informationen offengelegt oder verändert werden.

Der SAP-Sicherheitshinweis Nr. 2969457, der mit einem CVSS-Wert von 7,6 bewertet wurde, betrifft das Tool „Compare Systems“ von SAP NetWeaver AS Java. Eine fehlende XML-Validierung ermöglicht es einem Angreifer mit Administratorrechten, beliebige Dateien auf Betriebssystemebene des Anwendungsservers abzurufen und/oder einen Denial-of-Service-Angriff auszulösen.


Die verbleibenden vier „High Priority Notes“ sind lediglich Aktualisierungen und wurden ursprünglich an früheren Patch-Tagen veröffentlicht. Auch wenn solche Aktualisierungen oft nur textliche Ergänzungen und Anpassungen enthalten, lohnt es sich diesmal, sie noch einmal durchzulesen, da sie im Vergleich zu ihrer ursprünglichen Version zusätzliche Korrekturen enthalten. Dies betrifft:

  • SAP-Sicherheitshinweis Nr. 2941667: „Sicherheitslücke durch Code-Injection in SAP NetWeaver (ABAP) und der Platform 
  • SAP-Sicherheitshinweis Nr. 2941315: „Fehlende Authentifizierungsprüfung in SAP NetWeaver AS JAVA“ 
  • SAP-Sicherheitshinweis Nr. 2898077: „Offenlegung von Informationen in Platform SAP Business Objects Business Intelligence Platform Webanwendung dswsbobje)“
  • SAP-Sicherheitshinweis Nr. 2902456: „Rechteausweitung in SAP Landscape Management (SAP Adaptive Extensions)“  

Sicherheitslücken durch Cross-Site-Scripting (XSS)

Am monatlichen SAP-Patch-Tag gehört Cross-Site-Scripting zu den am häufigsten behobenen Sicherheitslücken. Zu den möglichen Folgen eines XSS-Angriffs zählen unter anderem:

  • Führe jede Aktion aus, die der Benutzer ausführen kann
  • Die Anmeldedaten des Benutzers erfassen
  • Die Website mit Trojaner-Funktionalität versehen

Was ist Cross-Site-Scripting (XSS)?

Cross-Site-Scripting (auch als XSS bekannt) ist eine Sicherheitslücke im Web, die es einem Angreifer ermöglicht, die Interaktionen der Benutzer mit einer anfälligen Anwendung zu manipulieren. Dadurch kann ein Angreifer die Same-Origin-Policy umgehen, die dazu dient, verschiedene Websites voneinander zu trennen. XSS-Schwachstellen ermöglichen es einem Angreifer in der Regel, sich als betroffener Benutzer auszugeben, alle Aktionen auszuführen, zu denen der Benutzer befugt ist, und auf alle Daten des Benutzers zuzugreifen. Verfügt der betroffene Benutzer über privilegierten Zugriff innerhalb der Anwendung, kann der Angreifer unter Umständen control vollständige control alle Funktionen und Daten der Anwendung erlangen.

Wie funktioniert XSS?

Bei Cross-Site-Scripting wird eine anfällige Website so manipuliert, dass sie bösartigen JavaScript-Code an die Nutzer zurückgibt. Wenn der bösartige Code im Browser des Opfers ausgeführt wird, kann der Angreifer die Interaktion des Opfers mit der Anwendung vollständig unter seine Kontrolle bringen.

Je nach Herkunft des bösartigen JavaScript-Codes gibt es drei verschiedene Arten von XSS-Angriffen:

  • Reflected XSS: Das bösartige Skript stammt aus der aktuellen HTTP-Anfrage
  • Stored XSS: Das bösartige Skript stammt aus der Datenbank der Website
  • DOM-basiertes XSS: Die Sicherheitslücke besteht im clientseitigen Code und nicht im serverseitigen Code

Zusammenfassung und Schlussfolgerungen

Mit 29 neuen und aktualisierten SAP-Sicherheitshinweisen gehört der SAP-Patch-Tag im Oktober zu den „reichhaltigsten“ Patch-Tagen des Jahres 2020. Auch die aktualisierten Hinweise sollten sorgfältig geprüft werden, da sie wesentliche Erweiterungen und Verbesserungen enthalten.

Mit dem CA Introscope Enterprise Manager steht eine Drittanbieteranwendung im Mittelpunkt des SAP-Patch-Days im Oktober. Da SAP-Kunden in der Regel mehrere Drittanbieteranwendungen einsetzen – meist handelt es sich dabei um ABAP-Anwendungen –, ist es stets wichtig, Sicherheitsaspekte bei der Entscheidung für eine bestimmte Anwendung zu berücksichtigen. Die Platform SAP-Kunden bei der Automatisierung des Qualitätssicherungsprozesses, wenn externe Anwendungen auf Codesicherheit, Code-Robustheit und Code-Wartbarkeit sowie auf Transportsicherheit geprüft werden.

SAP Oktober

Wie immer Onapsis Research Labs bereits Onapsis Research Labs , die Platform zu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.

Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest Onapsis“-Newsletter.

Alle SAP-Sicherheitshinweise anzeigen

Stichworte
Über den Autor

Thomas Fritsch

Als führender SAP-Sicherheitsforscher bei Onapsis gilt Thomas Fritsch als anerkannte Autorität in den Bereichen vulnerability management und neue Bedrohungen. Aufgrund seiner langjährigen Erfahrung als SAP-Experte konzentriert er sich auf hochtechnische Bereiche wie die Konfiguration von SAP-Systemen und das Transportmanagement. Thomas’ Analysen der neuesten SAP-Sicherheitspatches und -Schwachstellen sind ein zentraler Bestandteil der Forschungsarbeit, die Unternehmen die fundierten und umsetzbaren Erkenntnisse liefert, die sie zum Schutz ihrer Systeme benötigen. Seine Rolle als angesehener Redner und Autor festigt seinen Ruf als maßgebliche Stimme im Bereich der SAP-Cybersicherheit und trägt dazu bei, die Lücke zwischen komplexer Forschung und praktischen Sicherheitsmaßnahmen in der realen Welt zu schließen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen