SAP-Sicherheitshinweise September 2018: Kritischer Fehler in SAP HANA XS

Heute hat SAP 18 Sicherheitshinweise für den Security Patch Day im September veröffentlicht. Im vergangenen Monat wurden weitere fünf veröffentlicht, sodass sich die Gesamtzahl der Sicherheitshinweise in diesem Monat auf 23 beläuft. Eines der Highlights der Veröffentlichungen dieses Monats ist ein weiterer kritischer Fehler in der SAP HANA XS Engine, der aus der Ferne und ohne Authentifizierung ausgenutzt werden könnte und zu einem Denial-of-Service oder sogar zu einer potenziellen Remote-Code-Ausführung (RCE) führen könnte. Dieser von Onapsis gemeldete Fehler wurde behoben und als Sicherheitshinweis mit hoher Priorität Nr. 2681207 unter dem Titel„DOS-Schwachstelle in SAP HANA, Extended Application Services Classic Model“ veröffentlicht.

Infolge der kontinuierlichen BemühungenOnapsis Research Labs kontinuierlichen Bemühungen im Bereich der SAP-HANA-Sicherheit haben wir kürzlich einen weiteren Sicherheitsfehler in HANA gemeldet, der zur Veröffentlichung mit hoher Priorität in diesem Monat geführt hat und eine schwerwiegende Schwachstelle im XML-Parser von SAP HANA XS behebt. Anwendungen, die mit dem HANA Studio und den dazugehörigen Tools geschrieben wurden, sind anfällig für Unterbrechungen durch einen solchen Angriff. Diese werden von der HANA xsengine ausgeführt.

Zur Klarstellung: Der offizielle Begriff „SAP HANA XS Extended Application Services“ wird sowohl als „SAP HANA XS Engine“ als auch als „xsengine“ bezeichnet.

Der Angriff kann von einem Angreifer durchgeführt werden, indem er eine große, manipulierte Anfrage an eine Standard-API oder ODATA-Dienste in einem HANA XS-System sendet und dabei den Fehler beim XML-Parsing einer der Bibliotheken ausnutzt, die von xsengine zum Parsen von XML-Datenstrings verwendet werden. Die böswillige Anfrage kann aus der Ferne und ohne Authentifizierung erfolgen, das heißt, sie muss weder lokal sein noch von einem authentifizierten Benutzer stammen, und es sind keine Benutzeranmeldedaten erforderlich. Unser Forscher Martin Doyhenard, der den Fehler entdeckt hat, fand zudem zwei Ansätze zur Ausnutzung der Schwachstelle.

Der erste Angriff führt dazu, dass die xsengine nach wiederholten Versuchen, den Angriff zu senden, in allen ihren Threads nicht mehr reagiert. Das einzige Symptom ist somit die Nichtreaktionsfähigkeit der Anwendungen, und der Daemon, der für den laufenden Betrieb der HANA-Dienste zuständig ist, erkennt keinen Fehler, ebenso wenig wie ein Systemadministrator, der das System neu starten muss, ohne von einem solchen Angriff zu ahnen. Mit anderen Worten: Es handelt sich um einen Denial-of-Service-Angriff (DoS).

Die zweite Möglichkeit, diesen Fehler auszunutzen, besteht darin, einen Pufferüberlauf zu nutzen, wodurch die xsengine und die darin ausgeführten Anwendungen abstürzen. Die Anwendungen werden den Benutzern als nicht verfügbar oder nicht reagierend angezeigt. Der HANA-Daemon erkennt dies und startet die abgestürzte xsengine neu, sodass die Systemanwendungen nach einigen Minuten wieder verfügbar sind. Dies mag als weniger schwerwiegende Situation erscheinen, ist jedoch die bevorzugte Vorgehensweise eines Angreifers, der versucht, daraus einen RCE-Angriff abzuleiten. Bei einem solchen erfolgreichen Angriff kann das System vollständig kompromittiert werden.

Wie im SAP-Hinweis beschrieben, wurde die Sicherheitslücke in den folgenden Versionen behoben:

• SAP HANA 1.00 SPS 12 Revision 122.13
• SAP HANA 2.0 SPS 1, Release 12.02
• SAP HANA 2.0 SPS 2, Revision 22
• SAP HANA 2.0 SPS 3 (das seit der ersten Version nicht betroffen ist)

Obwohl diese Updates bereits seit mehreren Monaten verfügbar sind, haben einige Kunden den Patch möglicherweise noch nicht installiert, da sie sich der damit verbundenen Risiken nicht bewusst waren. Wir empfehlen SAP-Anwendern daher nach dieser Veröffentlichung dringend, auf diese oder spätere Versionen zu aktualisieren.

Zusammenfassend lässt sich sagen, dass die entdeckte Sicherheitslücke, wenn sie ausgenutzt wird, dazu führen kann, dass von HANA XS Extended Application Services unterstützte Anwendungen nicht mehr reagieren, und dass eine reale Gefahr besteht, dass sie auch für komplexere Angriffe genutzt werden könnte, um einen potenziellen RCE-Angriff zu ermöglichen, der eine äußerst schwerwiegende Gefährdung des Systems darstellen könnte. Die Schwachstelle wurde vom Hersteller behoben und mit einem CVSS-Wert von 7,5 veröffentlicht (obwohl sie ursprünglich mit einem CVSS-Wert von 10 gemeldet wurde, da bei dieser Art von Fehler häufig ein potenzieller RCE-Angriffsvektor vorliegt).

Dennoch ist ein DoS-Angriff die einfachste Möglichkeit, diese Schwachstelle auszunutzen, während ein komplexerer Angriff Zeit und Ressourcen erfordern würde, die auch für gezielte Angriffe zur Verfügung stehen müssten.

Wiederkehrende „Hot News “ und andere Hinweise mit hoher Priorität
Die „Hot News“ dieses Monats enthalten den Sicherheitshinweis Nr. 2622660, der erneut mit neuen Sicherheitsupdates für das mit dem SAP Business Client ausgelieferte control aktualisiert wurde. Diese vierte Version enthält neue control für control , die mehrere gefundene und behobene Sicherheitslücken beheben. Diese betreffen den SAP Business Client 6.5. Beachten Sie, dass SAP in Hinweis Nr. 2302074 empfohlen hat, die aktuellste verfügbare Version zu verwenden, da diese die neuesten Korrekturen und Funktionen enthält. Es wird außerdem empfohlen, alle früheren Versionen zu deinstallieren. Dieser Hinweis wurde als „Hot News“ gekennzeichnet, obwohl er noch keinen CVSS-Score hat; wie jedoch im Release-Kanal von Chrome zu sehen ist, sind fünf der 42 Sicherheitskorrekturen als „High Priority“ gekennzeichnet.

Wir haben diesen Hinweis seit seiner ersten Veröffentlichung im monatlichen SAP-Sicherheitshinweis vom April jedes Mal analysiert, einschließlich der jüngsten Veröffentlichung im Juli.

Neben der von Onapsis gemeldeten und eingangs beschriebenen Sicherheitslücke in DOS mit hoher Priorität in SAP HANA, Extended Application Services Classic Model (#2681207), werden die übrigen drei Hinweise mit hoher Priorität dieses Monats behandelt:

1. Offenlegung von Informationen in SAP Business One (#2670284) – Diese schwerwiegende Sicherheitslücke betrifft die SAP Business One-Software für HANA. Betroffen sind die Versionen 9.2 und 9.3. Unter bestimmten Umständen ist es möglich, dass Crystal Reports und das SAP-HANA-Installationsprogramm Zugriff auf vertrauliche Informationen erhalten, auf die sie keinen Zugriff haben sollten. Kunden müssen ein Upgrade durchführen oder den entsprechenden Patch-Level gemäß den Anweisungen im Hinweis installieren.
2. Sicherheitslücke durch fehlende XML-Validierung im BEx Web Java Runtime Export Web Service (#2644279) – In der SAP BI Java Runtime gibt es mehrere Exportdienste; der für das Web vorgesehene Dienst weist eine XML-Sicherheitslücke auf, da XML-Dokumente nicht ordnungsgemäß validiert werden. SAP erklärt, dass dies nur den Export von ABAP-Listenansichten (ALV) in das PDF-Format betrifft. Die betroffenen Versionen von SAP NetWeaver BI sind 7.30, 7.31, 7.40 und 7.41; sie müssen gepatcht werden, um dieses Sicherheitsproblem zu beheben.
3. Cross-Site-Scripting in der Java-Anmeldeanwendung von SAP NetWeaver AS (#2623846) – Diese Sicherheitslücke betrifft viele Versionen von SAP NetWeaver AS Java in der Anmeldeanwendung. Alle betroffenen Versionen (7.10, 7.11, 7.20, 7.30, 7.31, 7.40 und 7.50) müssen gepatcht werden, um Angreifern den Missbrauch dieser XSS-Sicherheitslücke zu verwehren , die zu Defacements, der Kompromittierung von Benutzeranmeldedaten oder der Identitätsübernahme von Benutzern führen kann .

Zusammenfassungder Sicherheitshinweise
Mit insgesamt fünf kritischen Sicherheitshinweisen, darunter ein kritischer Angriffsvektor über SAP HANA XS, gibt es in diesem Monat mehrere Patches, die installiert und beachtet werden müssen. Hier ist eine Übersicht über die Arten von Fehlern, die in diesem Monat vom Hersteller behoben wurden:

Wie immer, die Onapsis Research Labs daran, die Onapsis Security Platform zu aktualisieren, um diese neu veröffentlichten Sicherheitslücken in unsere Lösung zu integrieren, damit unsere Kunden überprüfen können, ob ihre Systeme auf dem neuesten Stand der SAP-Sicherheitshinweise sind. Verfolgen Sie unseren Blog oder folgen Sie uns in den sozialen Medien, um weitere Informationen zu den neuesten SAP-Sicherheitsproblemen zu erhalten, insbesondere unseren monatlichen Blogbeitrag, der immer am zweiten Dienstag des Monats erscheint.