SAP-Sicherheitspatch-Tag April 2022: Im Fokus: Spring4Shell und SAP MII

Von:

12. April 2022

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom April gehören:

  • Zusammenfassung für April – 35 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter sechs HotNews-Hinweise und sechs Hinweise mit hoher Priorität
  • SAP von Spring4Shell betroffen – Patch für SAP HANA Extended Application Services verfügbar
  • Onapsis Research Labs – Onapsis Research Labs zur Behebung von zwei Sicherheitslücken Onapsis Research Labs , darunter ein CVSS 9.1-Problem in SAP Manufacturing Integration and Intelligence (SAP MII)

SAP hat an seinem Patch Day im April 35 neue und aktualisierte Sicherheitshinweise veröffentlicht (einschließlich der Hinweise, die seit dem letzten Patch Tuesday veröffentlicht oder aktualisiert wurden). Darunter befinden sich sechs HotNews-Hinweise und sechs Hinweise mit hoher Priorität

Der SAP-Patch-Tuesday im April erfordert erneut besondere Aufmerksamkeit. Erneut ist SAP von einer schwerwiegenden Sicherheitslücke in einem externen Framework betroffen. Die als CVE-2022-22965 katalogisierte Spring4Shell-Sicherheitslücke wurde kürzlich entdeckt und, wie Forscher feststellten, bereits erfolgreich ausgenutzt. Glücklicherweise scheint die Anzahl der betroffenen SAP-Anwendungen sehr begrenzt zu sein. Eine weitere kritische Sicherheitslücke wurde von den Onapsis Research Labs (ORL) entdeckt. Unser ORL-Team hat zu einer schwerwiegenden Sicherheitslücke in SAP MII beigetragen, die zu einer vollständigen Kompromittierung des Servers führen könnte, auf dem die Anwendung gehostet wird.

Bevor wir näher auf die schwerwiegenden Sicherheitslücken eingehen, wollen wir zunächst einen Überblick über die kritischen SAP-Sicherheitshinweise geben.

Der HotNews -Hinweis Nr. 3022622, der mit einem CVSS-Wert von 9,1 versehen war, wurde bereits vor dem aktuellen Patch-Tag veröffentlicht und ist nun als „veraltet“ gekennzeichnet. Der Hinweis wurde vollständig durch den SAP-Sicherheitshinweis Nr. 3158613 ersetzt, der im nächsten Abschnitt näher beschrieben wird.

Die HotNewsNote #3123396 sowie die beiden High-Priority-Notes #3123427 und #3080567, die sich auf die Behebung von durch Onapsis Research Labs entdeckten Schwachstellen im Zusammenhang mit „HTTP Request Smuggling“ beziehen, wurden mit Informationen zum Notfall-Service-Pack „Stack Kernel PL1101“ für den Kernel 7.22 aktualisiert.

Eineweitere HotNews-Meldungbetrifft den immer wiederkehrenden SAP-Sicherheitshinweis Nr. 2622660, der einen SAP Business Client-Patch mit den neuesten getesteten Chromium-Korrekturen bereitstellt. SAP Business Client-Kunden wissen bereits, dass Updates dieses Hinweises stets wichtige Korrekturen enthalten, die unbedingt installiert werden müssen. Bemerkenswert ist, dass SAP seit dem letzten Patch Day zwei neue SAP Business Client-Patches veröffentlicht hat. Der erste enthielt die Chromium-Version 99.0.4844.74. Diese Version behob einen kritischen Fehler (CVE-2022-0971), der intern von Google entdeckt und mit einem CVSS-Score von 9,8 bewertet wurde. Der erste SAP Business Client-Patch kann also als eine Art Notfallkorrektur angesehen werden. Da es sich bei den Patches für den SAP Business Client um „vollständige“ Patches handelt, können Kunden einfach direkt den neuesten Patch anwenden.

Ein weiterer aktualisierter Hinweis mit hoher Priorität ist der SAP-Sicherheitshinweis Nr. 3149805, der mit einem CVSS-Wert von 8,2 versehen ist und ursprünglich am SAP-Patch-Day im März veröffentlicht wurde. Der Hinweis behebt eine Cross-Site-Scripting-Sicherheitslücke im SAP Fiori Launchpad. Die Gültigkeit der Korrekturanleitung wurde auf SAP_UI 753 ausgeweitet.

Die neuen HotNews -Notizen im Detail

Der SAP-Sicherheitshinweis Nr. 3189428, der mit einem CVSS-Wert von 9,8 versehen ist, behebt eine Sicherheitslücke, die die Ausführung von Remote-Code in den SAP HANA Extended Application Services ermöglicht. Das Problem ist auf die kürzlich entdeckte Spring4Shell-Sicherheitslücke in der betreffenden Version des Spring Frameworks zurückzuführen. Der HotNews-Hinweis bietet eine Lösung, indem er Kunden anweist, das SAP HANA XS Advanced-Modell auf Version 1.0.145 zu aktualisieren. Der Hinweis weist darauf hin, dass dieses Upgrade nur die XS Advanced HANA-Services in Bezug auf CVE-2022-22965 schützt. Es behebt keine Schwachstellen in XS Advanced (XSA)-Anwendungen. Ob eine XSA-Anwendung für CVE-2022-22965 anfällig ist, hängt von der verwendeten Java-Laufzeitumgebung ab. Standardmäßig verwendet XSA die Java-Laufzeitumgebung 8, die nicht von Spring4Shell betroffen ist. Die Java-Laufzeitumgebung kann jedoch angepasst werden, beispielsweise auf SAPMachine 11. Der Hinweis enthält eine detaillierte Schritt-für-Schritt-Anleitung zur Identifizierung von Anwendungen, die anfällige Spring-Versionen verwenden. Laut Spring ist das Problem ab der Spring-Framework-Version 5.3.18 behoben.

Es scheint, als gehe SAP davon aus, dass weitere Bereiche von Spring4Shell betroffen sein werden, da das Sicherheitsteam die zentrale HotNews-Notiz Nr . 3170990 eingerichtet hat, um alle Spring4Shell-bezogenen Probleme zu erfassen.

Als Ergebnis der kontinuierlichen Forschungsarbeit der Onapsis Research Labs ORL) hat SAP eine weitere HotNews-Meldung veröffentlicht. Das ORL-Team hat eine kritische Code-Injection-Sicherheitslücke entdeckt, die SAP Manufacturing Integration and Intelligence (SAP MII) betrifft. SAP MII ist eine SAP-Anwendung zur Synchronisierung von Fertigungsabläufen mit Backoffice-Geschäftsprozessen und standardisierten Daten. Sie besteht aus zwei Hauptkomponenten. Die Integrationskomponente nutzt Webstandards, um SAP ERP und zugehörige Geschäftsanwendungen mit Anwendungen in der Fertigung zu verknüpfen. Der Intelligence-Teil dient der Echtzeitanalyse von Fertigungsabläufen und nutzt Visualisierungstools und Dashboards, um Leistungskennzahlen (KPIs) und Warnmeldungen anzuzeigen.

Autorisierte Benutzer können die Self-Service-Composition-Umgebung (SSCE) nutzen, um Dashboards entsprechend ihren Anforderungen zu erstellen, zu gestalten, zu konfigurieren und anzuzeigen. Die SSCE ermöglicht es, diese Dashboards als JSPs auf dem Server zu speichern. Die Onapsis Research Labs , dass ein Angreifer bösartigen Code in die JSP einschleusen kann, bevor diese an den Server weitergeleitet wird. Wenn ein solches manipuliertes Dashboard von einem Benutzer mit entsprechenden Berechtigungen geöffnet wird, wird der bösartige Code auf dem Server ausgeführt. Enthält der bösartige Code bestimmte Betriebssystembefehle, kann der Angreifer beliebige Dateien auf dem Server lesen, ändern oder löschen und somit dessen Integrität, Vertraulichkeit und Verfügbarkeit gefährden. Angreifer, die als Entwickler authentifiziert sind, können die Anwendung nutzen, um eine Datei direkt hochzuladen und auszuführen, was es ihnen ermöglicht, Betriebssystembefehle auszuführen und den Server, auf dem die Anwendung gehostet wird, vollständig zu kompromittieren. Der SAP-Sicherheitshinweis Nr. 3158613, der mit einem CVSS-Score von 9,1 versehen ist, behebt diese Schwachstelle. SAP hat mit dem Patch eine Virenscan-Schnittstelle für alle Upload- und Download-Aktivitäten in SAP MII implementiert.

Weitere Hinweise mit hoher Priorität

Der SAP-Sicherheitshinweis Nr . 3130497, der mit einem CVSS-Wert von 8,2 versehen ist, behebt eine Sicherheitslücke in Platform SAP Business Intelligence Platform, die zur Offenlegung von Informationen führen kann. Ein CSRF-Token wurde versehentlich einer URL hinzugefügt und könnte möglicherweise zu einer Sicherheitslücke durch Offenlegung von Informationen führen. Betrachtet man den CVSS-Vektor der Sicherheitslücke, wird deutlich, dass ein Angriff unter Verwendung eines gestohlenen CSRF-Tokens je nach den Berechtigungen des Opfers auch schwerwiegende Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung haben kann.

Der SAP-Sicherheitshinweis Nr. 3111311, der mit einem CVSS-Wert von 7,5 bewertet wurde, behebt eine Denial-of-Service-Sicherheitslücke im SAP Web Dispatcher und im SAP Internet Communication Manager (ICM). Das Problem wird durch einen Programmfehler im Zusammenhang mit dem Parameter „icm/HTTP/file_access“ verursacht und betrifft das folgende Szenario:

  • ICM auf dem ABAP-Anwendungsserver

The following scenarios are only affected if parameter icm/HTTP/file_access_<x> has been set explicitly:

  • ICM auf dem Java-Anwendungsserver
  • SAP Web Dispatcher
  • SAP HANA Extended Application Services – Fortgeschritten

Als (vorübergehende) Abhilfe können SAP-Administratoren eine Umschreibungsregel hinzufügen, um einen Exploit zu verhindern.

Eine Sicherheitslücke im Zusammenhang mit einer Rechteausweitung im Apache Tomcat-Server von SAP Commerce wird durch den SAP-Sicherheitshinweis Nr. 3155609 behoben, der mit einem CVSS-Wert von 7,0 bewertet ist. Die Sicherheitslücke betrifft nur SAP-Commerce-Kunden, die ihre Tomcat-Konfiguration für die Verwendung von FileStore angepasst haben. Der Hinweis enthält einen Cloud , der eine Apache-Tomcat-Version umfasst, die nicht von CVE-2022-23181 betroffen ist.
 

Onapsis Research Labs

Unser Team hat SAP nicht nur bei der Behebung der kritischen Code-Injection-Sicherheitslücke in SAP MII unterstützt, sondern auch zur Behebung einer Directory-Traversal-Sicherheitslücke im Simple Diagnostics Agent beigetragen, der von SAP Focused Run verwendet wird. Das ORL-Team stellte fest, dass eine unzureichende Validierung von Pfadinformationen es einem Remote-Angreifer mit weitreichenden Berechtigungen ermöglichte, sich unbefugten Lesezugriff auf geschützte Verzeichnisse zu verschaffen. Der SAP-Sicherheitshinweis Nr . 3159091, der mit einem CVSS-Score von 2,7 versehen ist, enthält den entsprechenden Patch.

Zusammenfassung und Schlussfolgerungen

SAP-Kunden (sowie die Autoren der Blogbeiträge zum SAP Patch Day) waren möglicherweise schockiert, als sie die Vielzahl der Sicherheitshinweise für den SAP Patch Day im April sahen. Bei genauerer Betrachtung wird jedoch deutlich, dass ein erheblicher Teil der Hinweise keinerlei Maßnahmen erfordert. Zwei der sechs HotNews-Hinweise zählen eigentlich nicht dazu, da einer veraltet ist und der andere lediglich ein zentraler Hinweis ist, der alle Informationen im Zusammenhang mit Spring4Shell dokumentiert. Ein weiterer HotNews-Hinweis sowie drei der sechs Hinweise mit hoher Priorität enthalten lediglich geringfügige Aktualisierungen. Angesichts der Spring4Shell-Sicherheitslücke hätten manche vielleicht noch mehr „Aufregung“ an diesem Patch Day erwartet. Glücklicherweise betrifft sie nur Java-Versionen höher als Java 8 und sollte daher nicht allzu viele SAP-Anwendungen betreffen. 

Onapsis Research Labs aktualisiert die Platform Onapsis Research Labs mit den neuesten threat intelligence Sicherheitsempfehlungen, damit unsere Kunden den sich ständig weiterentwickelnden Bedrohungen immer einen Schritt voraus sind und ihre Unternehmen schützen können.

Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest“-Newsletter.

Tags,
Über den Autor

Thomas Fritsch

Als führender SAP-Sicherheitsforscher bei Onapsis gilt Thomas Fritsch als anerkannte Autorität in den Bereichen vulnerability management und neue Bedrohungen. Aufgrund seiner langjährigen Erfahrung als SAP-Experte konzentriert er sich auf hochtechnische Bereiche wie die Konfiguration von SAP-Systemen und das Transportmanagement. Thomas’ Analysen der neuesten SAP-Sicherheitspatches und -Schwachstellen sind ein zentraler Bestandteil der Forschungsarbeit, die Unternehmen die fundierten und umsetzbaren Erkenntnisse liefert, die sie zum Schutz ihrer Systeme benötigen. Seine Rolle als angesehener Redner und Autor festigt seinen Ruf als maßgebliche Stimme im Bereich der SAP-Cybersicherheit und trägt dazu bei, die Lücke zwischen komplexer Forschung und praktischen Sicherheitsmaßnahmen in der realen Welt zu schließen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen