SAP-Sicherheitshinweise September 2019: Kritischer Solution-Manager-Patch für Windows jetzt verfügbar

Von:

10. September 2019

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom September gehören:

  • Kritische Sicherheitslücke im Solution Manager Diagnostics Agent nun auch unter Windows behoben– Neue HotNews-Meldung auf Grundlage von Rückmeldungen der Onapsis Research Labs ursprünglich veröffentlichten Mitteilung   
  • Mehrere Sicherheitslücken in SAP HANA Extended Application Services behoben– Von Onapsis Research Labs gemeldete Denial-of-Service-Sicherheitslücke Onapsis Research Labs zu umfangreichen Korrekturen für SAP HANA XSA
  • SAP NetWeaver AS for Java-Komponenten sind überdurchschnittlich stark betroffen– Fünf von sechzehn Hinweisen beziehen sich auf den Java-Stack

Heute hat SAP seine monatlichen Sicherheitshinweise für September 2019 veröffentlicht. Wir freuen uns, bekannt geben zu können, dass zwei der von uns gemeldeten Sicherheitslücken zu Korrekturen geführt haben, die nun allen SAP-Kunden zur Verfügung stehen. Dies untermauert unsere gemeinsamen Bemühungen, SAP-Systeme sicherer zu machen. Zwei der HotNews-Hinweise , Nr. 2808158 und Nr. 2823733, befassen sich beide mit der von uns gemeldeten Sicherheitslücke im Diagnostics Agent. Dies zeigt, dass unsere Forschungslabore nicht nur nach neuen Sicherheitslücken suchen, sondern auch die Ergebnisse bereits veröffentlichter Korrekturen überprüfen, um etwaige Lücken in der bereitgestellten Lösung aufzudecken.

Eine detaillierte Analyse der vier HotNews-Meldungen zeigt, dass die einzige wirklich neue Meldung der SAP-Sicherheitshinweis Nr. 2798336 „Code-Injection-Sicherheitslücke in SAP NetWeaver AS for Java (Web Container)ist. Die HotNews-Meldung Nr. 2622660 ist lediglich ein weiteres Update zum control , das mit dem SAP Business Client control und zwischen dem aktuellen und dem letzten Patch-Tag veröffentlicht wurde.

Der einzige Eintrag mit hoher Priorität, Nr. 2817491 mit dem Titel „Mehrere Sicherheitslücken in SAP HANA Extended Application Services (Advanced Model)“, behebt eine Denial-of-Service-Schwachstelle sowie eine Schwachstelle im Zusammenhang mit internem Port-Scanning, die beide von Onapsis gemeldet wurden.
 

Aktuelles: SAP-Hinweis im Solution Manager Diagnostic Agent unter Windows nun behoben
 

Vor zwei Monaten veröffentlichte SAP einen kritischen Sicherheitspatch für den Solution Manager (SolMan), der von den Onapsis Research Labs entdeckt Onapsis Research Labs bereits in unserem Blogbeitrag zu den SAP Notes vom Juli erläutert wurde. Nach der Veröffentlichung analysierte unser Team den Patch und stellte fest, dass er nur für SAP-Systeme unter Linux galt, nicht jedoch für Windows-Systeme, was ebenfalls ordnungsgemäß gemeldet wurde. Heute hat SAP dies durch die Veröffentlichung des SAP Security Note#2823733 „Update 1 zu Security Note #2808158: [CVE-2019-0330] OS Command Injection-Sicherheitslücke im SAP Diagnostics Agent“ behoben, der aufgrund seiner Kritikalität und der geringen Komplexität des Angriffs (CVSS-Score von 9,1) ebenfalls als HotNews eingestuft wurde. Ein SolMan-Administrator kann den Fehler im Diagnostic Agent (SMDAgent) ausnutzen und Zugriff auf jedes mit dem SolMan-System verbundene SAP-System erlangen.

Auch wenn viele SolMan-Administratoren über Administratorrechte in anderen SAP-Systemen verfügen, kann es in bestimmten Szenarien erforderlich sein, die Zugriffsrechte auf diejenigen zu erweitern, die diese nicht besitzen. Dies gilt insbesondere für größere Unternehmen, in denen die SAP-Landschaft umfangreich ist und bestimmte Benutzer aufgrund ihrer Aufgabenbereiche, ihres Standorts oder aus anderen geschäftlichen Gründen möglicherweise nicht über privilegierten Zugriff auf jedes System verfügen. Dieses Szenario der Rechteerweiterung trifft insbesondere auf Unternehmen zu, die mit externen Mitarbeitern zusammenarbeiten, deren Zugriff in der Regel auf die spezifischen Systeme beschränkt ist, für die sie eine Zugriffsberechtigung besitzen. 

Wenn diese Szenarien auf Sie zutreffen, sollte die dringende Installation des Patches oberste Priorität haben, da es sich hierbei um einen der kritischsten Patches handeln könnte, die SAP im Jahr 2019 bisher veröffentlicht hat. Zwar sollte die Installation kritischer Patches stets Priorität haben, doch kann dieser Fehler die gesamte Landschaft beeinträchtigen, insbesondere da der SMDAgent in jedem SAP-System (für Diagnosezwecke) installiert ist.
 

Auch wenn Sie den im Juli veröffentlichten ursprünglichen Hinweis (#2808158) bereits installiert haben, sollten Sie zusätzlich den SAP-Sicherheitshinweis #2823733 installieren. Haben Sie den alten Hinweis hingegen nicht installiert, können Sie direkt mit der Installation des neuen Hinweises fortfahren. 
 

SAP HANA XSA-Anmeldung anfällig für Denial-of-Service-Angriffe

Der SAP HANA XS User Account and Authentication Service (UAA) ist die zentrale Infrastrukturkomponente des XS Advanced-Modells für die Benutzerauthentifizierung. Der UAA nutzt OAuth 2.0 und stellt eine Schnittstelle für die Benutzerauthentifizierung bereit, auf die von externen Anwendungen aus zugegriffen werden kann. Sobald der Benutzer validiert wurde, wird er an die Anwendung weitergeleitet, die den Zugriff angefordert hat.
 

SAP-Patch-Tag im September

This component is part of the XS Advance platform by default and it is possible to verify if the component is running by executing the sapcontrol -nr NN -function GetProcessList command. Doing this will show different services, with one of them being the hdbxsuaaserver, HDB XS UAA Server. Alternatively, you can directly access https://<host>:30032/uaa-security-oidc/login, which is the default port and path of the web service, to see if it’s configured by port.

SAP-Sicherheitshinweise September 2019

Wenn Sie die Komponente aktiviert haben (was der Fall sein sollte, wenn Sie SAP-HANA-XSA-Anwender sind), sind Sie von dem heute von SAP veröffentlichten Hinweis mit hoher Priorität betroffen:#2817491 „Mehrere Sicherheitslücken in SAP HANA Extended Application Services (Advanced Model)“. Dieser Hinweis behebt zwei verschiedene Fehler, die von Onapsis-Forschern gemeldet wurden. Der kritischste davon ermöglicht es einem authentifizierten Angreifer, einen Denial-of-Service-Angriff auszulösen, indem er einfach mehrmals eine speziell gestaltete Nutzlast an einen Endpunkt der XS Advance UAA-Komponente sendet, wodurch die Datenbankverbindungen erschöpft werden und folglich die legitime Nutzung des Dienstes verhindert wird.

Da dieser Dienst für die Authentifizierung bei anderen XS Advance-Webdiensten erforderlich ist und möglicherweise Benutzer in Anwendungen angelegt wurden, die diese Funktion nutzen, könnte dieser Angriff dazu führen, dass auch einige von Kunden entwickelte Anwendungen aufgrund des Fehlens dieses Authentifizierungsanbieters nicht mehr zugänglich sind.
 

Weitere HotNews: SAP -Hinweis zur Behebung einer Code-Injection-Sicherheitslücke in SAP NetWeaver AS for Java 

Der SAP-Hinweis Nr. 2798336 „Code-Injection-Sicherheitslücke in SAP NetWeaver AS for Java (Web Container)“ mit einem CVSS-Wert von 9,1 behebt einen Programmfehler in der SAP-Standardimplementierung der HTTP-PUT-Methode, der es Angreifern ermöglicht, die Eingabevalidierung zu umgehen. Ohne Validierung kann ein Angreifer dynamische Webinhalte hochladen und so control die gesamte Anwendung erlangen. Mögliche Auswirkungen sind:

  • Unbefugte Ausführung von Befehlen
  • Offenlegung vertraulicher Informationen
  • Denial-of-Service-Angriff

Wir empfehlen Ihnen dringend, die entsprechenden Support-Pakete und Patches zu installieren, da die Ausnutzung dieser Sicherheitslücke nicht besonders komplex ist und keine erhöhten Berechtigungen erfordert. Angesichts der vielfältigen möglichen Auswirkungen stellt diese Sicherheitslücke ein äußerst attraktives Ziel für jeden Angreifer dar.
 

Zusammenfassung und Schlussfolgerungen

Mit den heute veröffentlichten 16 neuen oder aktualisierten Sicherheitshinweisen ist die Anzahl der veröffentlichten Sicherheitshinweise geringer als im August. Einige davon enthalten jedoch mehrere Korrekturen oder wichtige Aktualisierungen und Erweiterungen bereits veröffentlichter Hinweise und erinnern uns damit daran, dass das Patchen für jeden SAP-Kunden eine fortwährende und wichtige Aufgabe ist und bleiben wird. Die Platform kann dazu beitragen, den Aufwand für das Patchen zu verringern, indem das „Missing Notes“-Modul eingesetzt wird, um Schwachstellen- und Compliance-Prüfungen zu vereinfachen und Ihren Patch-Prozess nach Kritikalität und geschäftlichen Auswirkungen zu priorisieren.
 

SAP-Sicherheitshinweise September 2019

Unsere Forscher Ignacio Favro, Pablo Artuso und Yvan Genuer wurden diesen Monat von SAP auf dessen Dankesseite für unsere Zusammenarbeit gewürdigt. Die Research Labs arbeiten bereits daran, die Platform zu aktualisieren, um diese neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden bei ihren Sicherheitsüberprüfungen fehlende Hinweise erkennen können.

Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme erfahren möchten – im Rahmen unserer Bemühungen, Wissen mit der Sicherheits-Community zu teilen –, abonnieren Sie unseren monatlichen „Defender’s Digest“-Newsletter und melden Sie sich unbedingt für unser Live-Webinar am 17. September an. Dort erhalten Sie einen Überblick über die wichtigsten Punkte der Sicherheitshinweise dieses Monats, erfahren, wie Sie Patches erfolgreich und effizient installieren, und können im Live-Q&A mit den Onapsis Research Labs Fragen stellen.

Stichwörter, ,
Über den Autor

Thomas Fritsch

Als führender SAP-Sicherheitsforscher bei Onapsis gilt Thomas Fritsch als anerkannte Autorität in den Bereichen vulnerability management und neue Bedrohungen. Aufgrund seiner langjährigen Erfahrung als SAP-Experte konzentriert er sich auf hochtechnische Bereiche wie die Konfiguration von SAP-Systemen und das Transportmanagement. Thomas’ Analysen der neuesten SAP-Sicherheitspatches und -Schwachstellen sind ein zentraler Bestandteil der Forschungsarbeit, die Unternehmen die fundierten und umsetzbaren Erkenntnisse liefert, die sie zum Schutz ihrer Systeme benötigen. Seine Rolle als angesehener Redner und Autor festigt seinen Ruf als maßgebliche Stimme im Bereich der SAP-Cybersicherheit und trägt dazu bei, die Lücke zwischen komplexer Forschung und praktischen Sicherheitsmaßnahmen in der realen Welt zu schließen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen