SAP Security Patch Day April 2021: Schwere Sicherheitslücke in SAP Commerce behoben

Von:

13. April 2021

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom April gehören:

  • Zusammenfassung für April –23 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter drei „HotNews“-Meldungen und fünf Meldungen mit hoher Priorität
  • Aktuelle Cyberangriffe auf SAP-Anwendungen –Neuer threat intelligence von Onapsis und SAP veröffentlicht
  • Kritischer Patch für SAP Commerce veröffentlicht –Sicherheitslücken in der Rules Engine bereiten Administratoren Kopfzerbrechen 

SAP hat im Rahmen seines Patch-Releases vom April 2021 23 neue und aktualisierte SAP-Sicherheitshinweise veröffentlicht, darunter auch die Hinweise, die seit dem letzten Patch-Tag erschienen sind. Das Patch-Release dieses Monats umfasst drei „HotNews“-Hinweise und fünf Hinweise mit hoher Priorität.

Der SAP-Sicherheitshinweis Nr. 2622660 mit einem CVSS-Wert von 10 ist der ständige Begleiter des Patch-Tages, der mit dem neuesten SAP Business Client Patch einschließlich Google Chromium Version 89.0.4389.90 geliefert wird. Der maximale CVSS-Score aller Schwachstellen, die mit dieser neuesten unterstützten Chromium-Version behoben wurden, beträgt im Vergleich zur letzten Version 9,6. Dies umfasst den Patch für insgesamt 62 Schwachstellen, von denen 25 als „High Priority“ eingestuft wurden .

Der HotNews- Eintrag Nr. 3022422, der mit einem CVSS-Wert von 9,6 versehen ist, wurde ursprünglich am Patch-Tag im März veröffentlicht und enthält lediglich eine Aktualisierung eines FAQ-Links. Dies könnte Kunden helfen, die den Patch nach seiner Veröffentlichung im letzten Monat noch nicht installiert haben, detaillierte Informationen über den Patch und seine Auswirkungen zu erhalten.

Einer der fünf Sicherheitshinweise mit hoher Priorität, der SAP-Sicherheitshinweis Nr. 2993132, der mit einem CVSS-Wert von 7,6 versehen ist, wurde ursprünglich im Dezember 2020 veröffentlicht und enthält lediglich Aktualisierungen der darin enthaltenen Korrekturanweisungen. Der Hinweis behebt eine Sicherheitslücke aufgrund einer fehlenden Autorisierungsprüfung in SAP NetWeaver AS ABAP und SAP S/4HANA (SAP Landscape Transformation).

Im Fokus: Threat Intelligence von Onapsis und SAP

Am 6. April veröffentlichten Onapsis und SAP einen neuen threat intelligence SAP-Kunden dabei helfen soll , ihre Unternehmen vor aktiven Cyberbedrohungen zu schützen, die gezielt darauf abzielen, Unternehmen mit ungeschützten SAP-Anwendungen über verschiedene Angriffsvektoren ausfindig zu machen und zu kompromittieren.

In diesem Bericht Onapsis Research Labs die Onapsis Research Labs Beobachtungen und Erkenntnisse zur Cybersicherheit, die ein komplexes Bedrohungsbild aufzeigen, das auf geschäftskritische SAP-Anwendungen abzielt. Von Mitte 2020 bis zur Veröffentlichung dieses Berichts haben die Forscher von Onapsis mehr als 300 erfolgreiche Angriffsversuche auf ungeschützte SAP-Instanzen registriert. Diese erhebliche Angriffsaktivität stand im Zusammenhang mit mehreren Sicherheitslücken (CVEs) und unsicheren Konfigurationen. 

In diesem Zeitraum Onapsis Research Labs die Onapsis Research Labs Tausende von Angriffsvorfällen aus einer Vielzahl von Quellen Onapsis Research Labs , darunter sowohl automatisierte als auch manuelle Angriffe. Die beobachteten Aktivitäten stehen größtenteils im Zusammenhang mit sechs CVEs und einem kritischen Konfigurationsproblem, bei denen es sich ausschließlich um bekannte Schwachstellen handelt. Zwar veröffentlicht SAP monatliche Patches und stellt Best Practices für die Systemkonfiguration bereit, doch liegt es letztlich in der Verantwortung des Kunden oder seines Dienstleisters, Abhilfemaßnahmen zeitnah umzusetzen und die Systeme ordnungsgemäß zu konfigurieren, um kritische Geschäftsprozesse und Daten zu schützen und die Compliance zu gewährleisten. Alle beobachteten kritischen Schwachstellen, die ausgenutzt wurden, wurden von SAP umgehend gepatcht und stehen den Kunden in einigen Fällen bereits seit Monaten oder Jahren zur Verfügung. Leider stellen sowohl SAP als auch Onapsis weiterhin fest, dass viele Unternehmen die in diesem Bericht genannten geeigneten Abhilfemaßnahmen noch immer nicht umgesetzt haben, wodurch ungeschützte SAP-Systeme weiterhin in Betrieb bleiben und in vielen Fällen für Angreifer über das Internet sichtbar bleiben. 

Die Erkenntnisse zeigen eindeutig, dass Cyberkriminelle ungeschützte SAP-Anwendungen gezielt mit automatisierten und ausgeklügelten Angriffen ins Visier nehmen und ausnutzen. Diese Untersuchung bestätigt zudem, dass die Angreifer sowohl über die Mittel als auch über das Fachwissen verfügen, um ungeschützte SAP-Systeme zu identifizieren und auszunutzen, und dass sie dazu hochmotiviert sind. Die Forscher von Onapsis stellten Feststellungen zu Erkundung, Erstzugang, Persistenz, Ausweitung von Berechtigungen, Umgehung von Sicherheitsmaßnahmen sowie control SAP-Systemen fest, darunter Anwendungen für das Finanzwesen, das Personalmanagement und die Lieferkette. 

Neben böswilligen Aktivitäten, die auf nicht gepatchte SAP-Anwendungen abzielten, fanden die Forscher von Onapsis auch Hinweise auf Angriffe auf bekannte Schwachstellen in anwendungsspezifischen Sicherheitskonfigurationen, darunter Brute-Force-Angriffe auf SAP-Benutzerkonten mit hohen Berechtigungen. Darüber hinaus wurden Versuche beobachtet, Schwachstellen zu verketten, um eine Berechtigungserweiterung für den Zugriff auf Betriebssystemebene zu erreichen, wodurch sich die potenziellen Auswirkungen über SAP-Systeme und -Anwendungen hinaus ausweiten.

Wichtigste Ergebnisse

  • Cyberangreifer sind aktiv, kompetent und weit verbreitet –es gibt Belege für über 300 automatisierte Exploits, bei denen sieben SAP-spezifische Angriffsvektoren ausgenutzt wurden, sowie für über 100 „Hands-on-Keyboard“-Sitzungen durch eine Vielzahl von Cyberangreifern. Es gibt eindeutige Hinweise auf fundierte Fachkenntnisse, einschließlich der Installation von SAP-Patches nach dem Einbruch.

  • Das Zeitfenster für die Verteidiger ist kleinkritische SAP-Sicherheitslücken werden bereits weniger als 72 Stunden nach Veröffentlichung eines Patches ausgenutzt, und neue, ungeschützte SAP-Anwendungen, die in cloud IaaS) bereitgestellt werden, werden in weniger als drei Stunden entdeckt und kompromittiert.

  • Bedrohungen haben sowohl Auswirkungen auf die Sicherheit als auch auf die Compliance –Eine Ausnutzung würde zur vollständigen control ungesicherte SAP-Anwendungen führen, wobei gängige Sicherheits- und Compliance-Kontrollen umgangen würden. Dies würde es Angreifern ermöglichen, sensible Informationen zu stehlen, Finanzbetrug zu begehen oder geschäftskritische Prozesse durch den Einsatz von Ransomware oder die Unterbrechung des Betriebs zu stören. Bedrohungen können zudem erhebliche Auswirkungen auf die Einhaltung gesetzlicher Vorschriften haben, darunter SOX, DSGVO, CCPA und andere.

Den vollständigen threat intelligence können Sie hier herunterladen.

Kritische SAP-Sicherheitshinweise im April

Ähnlich wie beim SAP-Patch-Day im Februar behebt die einzige HotNews-Meldung – neben der regelmäßig erscheinenden SAP-Business-Client-Meldung Nr. 2622660 und dem kleineren Update der HotNews-Meldung Nr. 3022422 – eine Sicherheitslücke in der Rules Engine von SAP Commerce. Der SAP-Sicherheitshinweis Nr. 3040210, der mit einem CVSS-Score von 9,9 versehen ist, beschreibt, dass bestimmte autorisierte Benutzer der SAP-Commerce-Backoffice-Anwendung die Skriptfunktionen der Rules Engine ausnutzen können, um bösartigen Code in die Quellregeln einzuschleusen. Dies kann zu einer Remote-Code-Ausführung führen, die kritische Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Systems hat. Der veröffentlichte Patch führt zusätzliche Validierungen und eine Ausgabeverschlüsselung bei der Verarbeitung von Regeln ein. Weitere Details zur Architektur der SAP Commerce Rules Engine finden Sie hier.

 Der Hinweismit hoher Priorität Nr. 3017908 ist mit einem CVSS-Score von 8,3 versehen und behebt eine Schwachstelle durch Informationsoffenlegung in SAP NetWeaver Master Data Management (MDM). Die Tatsache, dass Administratorkonten in MDM nach einer definierten Anzahl erfolgloser Verbindungsversuche nicht gesperrt wurden, ermöglichte es Angreifern, Brute-Force-Angriffe zu starten. Als Workaround, aber auch als zusätzliche Sicherheitsmaßnahme nach der Implementierung des Patches empfiehlt SAP, die relevanten Passwortparameter auf Werte zu aktualisieren, die eine strenge Passwortrichtlinie durchsetzen.

Eine weitere Sicherheitslücke, die zur Offenlegung von Informationen führt, betrifft den SAP Solution Manager (SolMan). Der SAP-Sicherheitshinweis Nr. 3017823, der mit einem CVSS-Score von 8,1 versehen ist, behebt das anfällige Funktionsmodul, das es Angreifern mit hohen Berechtigungen ermöglichte, Zugriff auf sensible Daten zu erlangen. Der vollständige Patch für die Schwachstelle umfasst auch die Behebung von Problemen in der LM-Service-Komponente. Die entsprechenden Patches sind in der Sicherheitsnotiz aufgeführt.

Die mit der Sicherheitsnotiz Nr . 3039649 ( hohe Priorität ) behobene Schwachstelle, die mit einem CVSS-Score von 7,5 bewertet wurde, gefährdet Benutzer-Workstations. Sie betrifft das SAPSetup-Tool, das die Softwareverteilung von SAP-Frontend-Produkten unterstützt. Ein nicht in Anführungszeichen gesetzter Dienstpfad in SAPSetup könnte während des Installationsprozesses, der bei der Registrierung einer ausführbaren Datei durchgeführt wird, zu einer Rechteausweitung führen. Während die Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Workstation sehr hoch sein können, führen die Komplexität eines Angriffs und der Umfang der erforderlichen Rechte zu einem CVSS-Score von „nur“ 7,5. SAP stellt ein entsprechendes Update der ausführbaren SAPSetup-Datei auf seinem Support-Portal bereit. 
 
Eine dritte kritische Schwachstelle im Zusammenhang mit der Offenlegung von Informationen wird in SAP NetWeaver AS Java mit dem SAP-Sicherheitshinweis Nr . 3001824 behoben, der mit einem CVSS-Score von 7,4 versehen ist. Diese Schwachstelle ist eine direkte Folge eines Server Message Block (SMB)-Relay-Angriffs. Ein SMB-Angriff ist eine Art Man-in-the-Middle-Angriff, der es dem Angreifer ermöglicht, Passwort-Hashes abzufangen. Ein unbefugter Angreifer könnte diese Möglichkeit ausnutzen und einen Administrator dazu verleiten, bestimmte Telnet-Befehle für einen SAP NetWeaver AS Java auszuführen, wodurch der Angreifer NTLM-Hashes privilegierter Benutzer erlangen könnte. Die bereitgestellte Lösung sowie die optionale Abhilfe verhindern die Nutzung des SMB-Protokolls. 

Zusammenfassung und Schlussfolgerungen

In diesem Monat wurden die wichtigsten Informationen bereits vor dem regulären Patch-Tag veröffentlicht. Die Ergebnisse des threat intelligence von Onapsis und SAP zeigen deutlich, dass für SAP-Anwendungen nicht nur ein theoretisches Risiko besteht, sondern auch ein reales, da Angreifer ihre Bemühungen nun auf geschäftskritische SAP-Anwendungen konzentrieren. 

Regelmäßige Patches sind eine Grundvoraussetzung dafür, dass die wertvollsten Daten und Prozesse des Unternehmens geschützt bleiben. Daher sollten wir uns nicht von jedem neuen Patch-Tag beunruhigen lassen – wir sollten ihn vielmehr als eine weitere Gelegenheit betrachten, unsere Systeme sicherer zu machen.

SAP-Sicherheitshinweise April 2021

Wie immer Onapsis Research Labs die Platform kontinuierlich, um neu bekannt gewordene Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.

Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest Onapsis“-Newsletter.

Tags,
Über den Autor

Thomas Fritsch

Als führender SAP-Sicherheitsforscher bei Onapsis gilt Thomas Fritsch als anerkannte Autorität in den Bereichen vulnerability management und neue Bedrohungen. Aufgrund seiner langjährigen Erfahrung als SAP-Experte konzentriert er sich auf hochtechnische Bereiche wie die Konfiguration von SAP-Systemen und das Transportmanagement. Thomas’ Analysen der neuesten SAP-Sicherheitspatches und -Schwachstellen sind ein zentraler Bestandteil der Forschungsarbeit, die Unternehmen die fundierten und umsetzbaren Erkenntnisse liefert, die sie zum Schutz ihrer Systeme benötigen. Seine Rolle als angesehener Redner und Autor festigt seinen Ruf als maßgebliche Stimme im Bereich der SAP-Cybersicherheit und trägt dazu bei, die Lücke zwischen komplexer Forschung und praktischen Sicherheitsmaßnahmen in der realen Welt zu schließen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen