SAP-Sicherheitshinweise September 2017: Auch wenn es keine „Hot News“-Updates gibt, heißt das nicht, dass Sie sich in Sicherheit wiegen dürfen

Es ist der zweite Dienstag des Monats, und es wurde eine weitere Reihe von SAP-Sicherheitshinweisen veröffentlicht. Seit dem letzten Patch Day im August hat SAP 32 Hinweise veröffentlicht, darunter 16 veraltete und weitere 16, die heute Morgen erschienen sind. Auffällig ist, dass dies derfünfte Monat in Folge ist,in dem kein „Hot News“-Hinweis veröffentlicht wurde – die höchste Risikokategorie für Sicherheitshinweise. Hinzu kommt, dass von den drei Notes mit hoher Priorität zwei Aktualisierungen einer Note vom Juli sind und die andere nur ein einziges Land betrifft, was das Risiko deutlich verringert. Aufgrund dieser Fakten werden wir den folgenden Blogbeitrag anpassen: Anstatt näher auf einzelne Notes einzugehen, wird der heutige Beitrag aus kürzeren Beschreibungen bestehen. Abschließend werden wir unsere Einschätzung dazu geben, was das Fehlen von „Hot News“-SAP-Sicherheitshinweisen für SAP-Kunden bedeutet.

Mit 32 Sicherheitshinweisen scheint es ein arbeitsreicher Monat zu werden. Allerdings sind 9 der 32 Hinweise (fast 30 %) Wiederveröffentlichungen von Sicherheitslücken, die bereits in den letzten 18 Monaten behoben wurden. Die folgende Grafik zeigt die Verteilung der Fehlerarten für diesen Monat. Einer der Hinweise (#2484707) behebt sowohl eine Schwachstelle im Zusammenhang mit der Offenlegung von Informationen als auch eine Schwachstelle bei der Authentifizierungsprüfung. Dieser Hinweis trägt daher zu zwei Segmenten des Diagramms bei:

Kassensystem (POS) – „mehrere“ Aktualisierungen

Zwei der drei Hinweise mit hoher Priorität in diesem Monat beziehen sich auf den SAP Point of Sale (POS) Retail Xpress Server. Einer der Hinweise (Nr. 2476601) ist eine Aktualisierung eines bereitsim Julidieses JahresveröffentlichtenHinweises, der eine fehlende Autorisierungsprüfung bei Funktionen beschreibt, für die eine Benutzeridentität erforderlich sein sollte. Wie wir bereits mehrfachin anderen Blogbeiträgengeschrieben haben, könnte eine fehlende Authentifizierungsprüfung dazu führen, dass ein Angreifer sensible Informationen lesen, ändern oder löschen oder direkt auf administrative oder andere privilegierte Funktionen zugreifen kann.

Der zweite Eintrag (#2520064) trägt denselben Titel – „Fehlende Authentifizierungsprüfung im SAP Point of Sale (POS) Retail Xpress Server“ – und weist denselben CVSS-Wert auf (8,1 / 10 v3). Es ist jedoch zu beachten, dass dieser Hinweis mehr Korrekturen enthält als der ursprüngliche, darunter nicht nur die hinzugefügte Authentifizierung, sondern auch die Verschlüsselung des Kommunikationskanals. Dieser Hinweis umfasst den zuvor beschriebenen Fehler (#2476601), sodass Sie nur diesen letzten installieren müssen.

Noch etwas, das Sie beachten sollten, wenn Sie dieses Produkt verwenden: Die Installation dieser Updates erfolgt manuell und muss gleichzeitig auf den Registern und dem Server durchgeführt werden (Register ohne Update können nicht mit einem Server mit Update kommunizieren).

In diesem Monat gibt es einen weiteren Hinweis zum Thema POS: den SAP-Sicherheitshinweis Nr. 2528596 mit dem Titel „Fest codierte Anmeldedaten in SAP Point of Sale Store Manager“. Das damit verbundene Risiko ist deutlich geringer; der CVSS v3-Basiswert liegt bei 3,9 von 10 Punkten, was vor allem darauf zurückzuführen ist, dass es sich um einen komplexen Angriff mit geringen Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit handelt.

Ein Ton … ein Land?

In diesem Monat gibt es zwei Sicherheitshinweise, die jeweils nur ein einzelnes Land betreffen. So seltsam das auch erscheinen mag, ist es doch völlig einleuchtend: Bestimmte Komponenten und Anwendungen, die ausschließlich auf regionale oder lokale Rechnungsstellungs- und Steueranforderungen zugeschnitten sind, können ebenfalls Sicherheitslücken aufweisen. Der andere Sicherheitshinweis mit hoher Priorität in diesem Monat betrifft einen solchen Fall. Eine Cross-Site-Request-Forgery-Sicherheitslücke (CSRF) in Electronic Ledger Management for Turkey 1.0 wurde in der SAP-Sicherheitsmitteilung Nr. 2367269 behoben.

Es gibt einen weiteren Hinweis, der nur Nutzer aus einem bestimmten Land betrifft. Der SAP-Sicherheitshinweis Nr. 2497027behebt eine fehlende Berechtigungsprüfung in einer Funktion für brasilianische Rechnungsstellungsfunktionen (elektronische Nota Fiscal, NF-e).

Die Einführung digital signierter SAP-Hinweise

Das Beheben von Fehlern mit einem infizierten Patch kann zu mehr Problemen führen, als sie das Unternehmen ursprünglich hatte. Daher ist es in der Behebungsphase besonders wichtig, sicherzustellen, dass Ihre Software-Updates aus einer beabsichtigten und legitimen Quelle stammen und nicht beschädigt sind.

Um zu verhindern, dass Benutzer ihre Systeme mit böswillig manipulierten SAP-Notizdateien patchen, versieht SAP seine Notizen mit einer digitalen Signatur, um deren Echtheit zu bestätigen. Ähnlich wie ein Webbrowser, der ein SSL-Zertifikat überprüft (und bei unerwarteten Ergebnissen eine Warnung ausgibt), können SAP-Benutzer das Tool„Note Assistant“(Transaktion SNOTE) zur Note-Überprüfung aktivieren. Dieses Tool überprüft die digitalen Signaturen derhochzuladenden Notes mithilfe einer aktuellen Version des SAPCAR-Tools. Eine fehlgeschlagene Überprüfung verhindert schließlich das Extrahieren der Dateien. Der SAP-Hinweis Nr. 2408073enthält weitere Informationen zum Umgang mit digital signierten Hinweisen. Bitte beachten Sie, dass die Überprüfung digitaler Signaturen derzeit nur für das Hochladen von Hinweisen funktioniert. Die Möglichkeit, signierte Hinweise aus dem Portal herunterzuladen, plant SAP für eine Veröffentlichung in den kommenden Monaten. Die Informationen sind von SAP in einem separatenSAP-Blogbeitrag zusammengefasst.

SAP, eine CVE-Nummerierungsstelle

Schließlich hat das SAP Security Response Teamdiesen Monat bekannt gegeben, dass es bis Ende 2017 eine CVE-Nummerierungsstelle werden wird. Durch die Nutzung von CVE als Mechanismus zur Veröffentlichung von Patches für von externen Quellen gemeldete Sicherheitslücken will SAP „eine schnellere Nutzung der Patches und mehr Transparenz für alle SAP-Kunden ermöglichen“. Wir stimmen dieser Entscheidung zu und respektieren sie. Dies ist ein großer Schritt, der zeigt, wie dieser Markt weiter reift, und verdeutlicht zudem, wie sich die SAP-Sicherheit in den letzten Jahren verbessert hat.

Meinung: Was bedeutet das Fehlen von „Hot News“?

Wir haben zu Beginn dieses Beitrags darauf hingewiesen, dass dies der fünfte Monat in Folge ist, in dem es keine „Hot News“-Meldungen für SAP gibt. Was bedeutet das? Wird SAP sicherer? Bevor wir diese Fragen beantworten (ehrlich gesagt gibt es unserer Meinung nach keine richtigen Antworten), sollten wir uns eine einfachere Frage stellen: Ist dies das erste Mal, dass SAP über einen längeren Zeitraum keine Meldungen in dieser Kategorie veröffentlicht hat? Die Antwort lautet: Nein. Wir nähern uns jedoch einem Rekord. Das letzte Mal, dass SAP fünf Monate in Folge keine „Hot News“ veröffentlichte, war zwischen September 2013 und Februar 2014. Es gibt einen noch längeren Zeitraum (sechs Monate) zwischen Juli 2007 und Januar 2008.

Und dann gibt es noch den längsten Zeitraum seit Beginn der Veröffentlichung von Sicherheitshinweisen durch SAP in den frühen 2000er Jahren: 16 Monate zwischen August 2004 und Januar 2006. Doch das war, bevorOnapsis gegründet wurde und sich die SAP-Sicherheit als Fachgebiet etablierte. Seit 2007 (dem Jahr, in dem Onapsis-Gründer Mariano Nunez auf der Blackhat einen Vortrag über SAP-Sicherheit hielt und dem letzten Jahr, in dem SAP weniger als 50 SAP-Sicherheitshinweise veröffentlichte)sind wir nur noch zwei Monate davon entfernt, einen Rekord für die längste Pause bei der Veröffentlichung von Hot News zu brechen.

Zurück zur großen Frage: Ist SAP sicherer, weil es keine „Hot News“ gibt? Es ist nicht zutreffend, (allein aufgrund dieser Tatsache) zu folgern, dass wir über eine sicherere Umgebung verfügen. Da wir nun wissen, dass dies nicht das erste Mal ist, dass so etwas passiert, kann man mit Fug und Recht sagen, dass dies eine voreilige Einschätzung wäre: Was wäre passiert, wenn wir im Februar 2014 dasselbe gesagt hätten? Seitdem gab es weitere 40 „Hot News“-Meldungen, darunter mehrere Code-Injection-Fehler und den größten Angriff auf SAP HANA, der von Onapsis Research Labs entdeckt Onapsis Research Labs im März dieses Jahres behoben wurde (die bislang letzte veröffentlichte „Hot News“); denvollständigen Bedrohungsbericht finden Siehier.

Generell gilt also:Das Fehlen von Patches für kritische Sicherheitslücken ist kein Garant für Sicherheit – man weiß nie, was in den kommenden Monaten passieren wird.

Andererseits kann man durchaus sagen, dass dies durchaus etwas bedeuten könnte. Wir stehen vor dem längsten Zeitraum ohne kritische Sicherheitshinweise seit fast drei Jahren. SAP Security ist ein ausgereifterer Bereich, der unter anderem eine größere Forschungsgemeinschaft, einenetablierten Markt und zahlreiche Verbesserungen seitens des Anbieters umfasst (sehen Sie sich dazu einfach die vorherigen Abschnitte zu den Verbesserungen dieses Monats an).Es wäre nicht überraschend, wenn die „Hot News“-Updates in naher Zukunft seltener ausfallen würden.

Zusammenfassend lässt sich sagen: Nur weil wir in eine reifere Phase eintreten, heißt das nicht, dass wir uns zurücklehnen können. Die Tatsache, dass es schwieriger wird, kritische Fehler zu finden, bedeutet nicht, dass Angreifer diese nicht weiterhin aufspüren können. Andere Bereiche wie die Betriebssystemsicherheit oder die Webanwendungssicherheit zeigen deutlich, dass es in Sachen Sicherheit keine „Entspannungsphase“ gibt, und die SAP-Sicherheit sowie die Sicherheit geschäftskritischer Anwendungen bilden da keine Ausnahme.

Aus Kundensicht ist dies eine Chance. Es ist an der Zeit, sich dem Markt und dem Anbieter anzupassen und Ihr SAP-Sicherheitsteam auf einen ausgereifteren Stand zu bringen. Onapsis Research Labs bereits Onapsis Research Labs und integriert die Erkenntnisse dieses Monats in unser Produkt. Zögern Sie nicht, uns zu kontaktieren, wenn Sie weitere Hilfe oder Informationen dazu benötigen, wie Sie Ihre SAP-Systeme patchen oder absichern können.