SAP Security Patch Day August 2020: SAP Knowledge Management von zwei kritischen Patches betroffen

Von:

11. August 2020

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom August gehören:

  • Zusammenfassung für August– 21 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter zwei HotNews-Hinweise und sechs Hinweise mit hoher Priorität
  • Onapsis Research Labs —Unser Forschungsteam hat erneut eine besonders kritische Sicherheitslücke entdeckt, sowie drei weitere kritische Sicherheitslücken
  • SAP-Wissensmanagement im Fokus—Eine Cross-Site-Scripting-Sicherheitslücke kann zu einer vollständigen Gefährdung der Vertraulichkeit, Integrität und Verfügbarkeit des Systems führen

Während die SAP-Community noch immer über die Auswirkungen und böswilligen Aktivitäten im Zusammenhang mit der RECON-Sicherheitslücke diskutiert, hat SAP an seinem Patch-Tag im August 21 neue und aktualisierte Sicherheitshinweise veröffentlicht. Darunter befinden sich zwei „HotNews“-Hinweise und sechs Hinweise mit hoher Priorität. Glücklicherweise handelt es sich bei einem der beiden „HotNews“-Hinweise lediglich um eine geringfügige Textaktualisierung des ursprünglich Ende Juli veröffentlichten RECON-Hinweises Nr. 2934135. Denken Sie daran, dass Onapsis einen kostenlosen Online-Service und ein herunterladbares Open-Source-Scan-Tool anbietet, mit denen Unternehmen schnell assess können, assess ihre SAP-Anwendungen anfällig sind, und Anzeichen für eine Kompromittierung im Zusammenhang mit der Ausnutzung der RECON-Sicherheitslücke (CVE-2020-6287) erkennen können. Wenn Sie noch nicht sichergestellt haben, dass Sie nicht für RECON anfällig sind, empfehlen wir Ihnen dringend, dies angesichts der besonderen Kritikalität dieser Sicherheitslücke als Erstes zu tun. Wenn Sie bereits einen Patch installiert oder zumindest einige der im Threat Report und im SAP-Sicherheitshinweis beschriebenen Workarounds angewendet haben, können Sie sich nun auf die neu veröffentlichten Patches konzentrieren.

Der zweite HotNews-Hinweis im August sowie einer der Hinweise mit hoher Priorität enthalten Patches für zwei kritische Sicherheitslücken in SAP Knowledge Management – der am stärksten betroffenen SAP-Komponente am Patch-Tag im August.

Onapsis Research Labs zur Behebung von zwei kritischen Sicherheitslücken in SAP Knowledge Management Onapsis Research Labs

Im Rahmen der Mission von Onapsis, SAP beim Schutz seiner Kunden zu unterstützen, haben die Onapsis Research Labs im Jahr 2020 Onapsis Research Labs zur Behebung von 29 Sicherheitslücken beigetragen, von denen 19 als kritisch eingestuft wurden (High Priority + HotNews Notes ). 

Die kritischste Sicherheitslücke des Patch-Tages im August betrifft SAP Knowledge Management. Der SAP-Sicherheitshinweis Nr. 2928635 behebt eine Cross-Site-Scripting-Sicherheitslücke, die zu einer vollständigen Gefährdung der Vertraulichkeit, Integrität und Verfügbarkeit des Systems führen kann. 

Knowledge Management (KM) ist eine Komponente von SAP NetWeaver, genauer gesagt von SAP Enterprise Portal. Es dient als zentraler Einstiegspunkt für die Verwaltung verschiedener Datenquellen in unterschiedlichen Formaten und ist standardmäßig in jeder Installation von SAP Enterprise Portal enthalten.

Benutzer können neue Inhalte und Ordner erstellen, bestehende ändern und Dateien in das System hochladen. Standardmäßig können sie Dateien beliebigen Typs hochladen, darunter auch HTML-Dateien, die beim Aufrufen durch andere Benutzer von deren Browsern dargestellt werden. Die Onapsis Research Labs , dass dieser Upload-Prozess ausgenutzt werden kann, um bösartige HTML-Dateien mit JavaScript-Code hochzuladen und so einen Stored Cross-Site Scripting (XSS)-Angriff durchzuführen. Der Exploit ist möglich, da der von SAP implementierte Filtermechanismus, der verhindern sollte, dass hochgeladene Dateien mit ausführbaren Skripten versehen werden, nicht ordnungsgemäß funktionierte. 

Die Sicherheitslücke hat einen CVSS-Wert von 9,0, und nur die Tatsache, dass sie eine zusätzliche Benutzerinteraktion erfordert (ein Benutzer mit Administratorrechten, der auf die schädliche Datei zugreift), verhindert, dass sie mit 9,9 bewertet wird.

Die Onapsis Research Labs haben Onapsis Research Labs festgestellt, dass es möglich ist, in SAP KM als nicht authentifizierter Benutzer Dateien zu erstellen oder bestehende Dateien zu ändern bzw. zu löschen. Diese Schwachstelle wird in der SAP-Sicherheitsmitteilung Nr.2938162 mit dem Titel „Uneingeschränkter Datei-Upload in SAP NetWeaver (Knowledge Management)“ beschrieben und behoben. SAP unterscheidet diese Schwachstelle streng von der vorherigen. Daher beträgt der CVSS-Wert dieser Bedrohung 7,3. Die Kombination beider Exploits stellt nicht nur eine sehr ernste Gefahr dar, sondern wenn der HotNews-Patch nicht angewendet wird , kann diese letzte Schwachstelle ohne Authentifizierung ausgenutzt werden, was sie noch kritischer macht (was einen potenziellen CVSS-Score von 9,6 bedeuten würde). Mit anderen Worten: Der SAP-Sicherheitshinweis Nr. 2938162 ist nur deshalb nicht kritisch, weil der andere Patch bereits verfügbar ist; daher ist es äußerst wichtig, beide anzuwenden. 

Ein weiterer Beitrag der Onapsis Research Labs

Das Onapsis-Team hat zudem eine Code-Injection-Sicherheitslücke in SAP NetWeaver AS ABAP und Platform entdeckt, die es jedem authentifizierten Benutzer ermöglicht, einen beliebigen SAP-Standardbericht durch Code zu ersetzen, den der Benutzer während einer Batch-Input-Sitzung aufgezeichnet hat. Wie in der entsprechenden High-Priority-Note Nr. 2941667 beschrieben, die mit einem CVSS-Score von 8,3 versehen ist, kann dies zu einem Denial-of-Service führen, z. B. durch das Überschreiben wichtiger Anmeldeprogramme. Der Patch umfasst die Implementierung mehrerer Autorisierungsprüfungen. Die Berichterstellung für den aufgezeichneten Code erfolgt nun über die entsprechenden API-Funktionen, die automatisch verschiedene Repository-Prüfungen durchführen, darunter die Prüfung auf bereits vorhandene Berichte.

Der Hinweis mit hoher Priorität Nr. 2941315, der mit einem CVSS-Wert von 7,5 gekennzeichnet ist, beschreibt eine Sicherheitslücke aufgrund einer fehlenden Authentifizierungsprüfung, die von den Onapsis Research Labs SAP NetWeaver AS JAVA entdeckt wurde. Die Sicherheitslücke wird über einen Webdienst offengelegt, und ein Exploit kann zu einem vollständigen Denial-of-Service führen.

Weitere wichtige SAP-Sicherheitshinweise im August

Die drei verbleibenden Hinweise mit hoher Priorität betreffen SAP BusinessObjects, SAP Banking Services und SAP Adaptive Server Enterprise.

Der SAP-Sicherheitshinweis Nr. 2927956, der mit einem CVSS-Score von 8,5 versehen ist, behebt eine Sicherheitslücke, die es einem Angreifer mit Zugriff auf das interne Netzwerk (LAN) ermöglicht, sich ohne Authentifizierung Zugang zum X-Server zu verschaffen. Dadurch kann der Angreifer die Tastatur- und Mausaktivitäten eines remote verbundenen Benutzers auslesen und sogar Screenshots des Remote-Hosts erstellen. Auf diese Weise ist es möglich, Zugriff auf den Benutzernamen und das Passwort des verbundenen Benutzers zu erlangen.

Der SAP-Sicherheitshinweis Nr. 2939685 beschreibt eine Sicherheitslücke in SAP Banking Services, die auf einer fehlenden Berechtigungsprüfung beruht. Dieser Hinweis mit hoher Priorität und einem CVSS-Score von 8,3 wird allen SAP-Kunden dringend empfohlen, insbesondere denjenigen, die der DSGVO unterliegen, da die Sicherheitslücke es einem Angreifer ermöglicht, geschützte generische Marktdaten (GMD) von Geschäftspartnern einzusehen oder die zugehörigen Kennzahlenwerte der GMD-Daten in SAP Banking Services zu ändern.

Der SAP-Sicherheitshinweis Nr. 2941332, der mit einem CVSS-Score von 7,0 versehen ist, behebt eine Sicherheitslücke im Installationsprogramm des SAP Adaptive Enterprise Cockpit, die zur Offenlegung von Informationen führt. Sie ermöglicht es einem Angreifer, Informationen aus den Installationsprotokolldateien auszulesen, die anschließend für weitere Angriffe genutzt werden können.

Zusammenfassung und Schlussfolgerungen

Zeit, einmal tief durchzuatmen. Während die letzten SAP-Patch-Tage von einer hohen Anzahl kritischer HotNews-Meldungen mit CVSS-Werten weit über 9,0 geprägt waren und im Juli mit der RECON-Sicherheitslücke mit einem CVSS-Wert von 10,0 gipfelten, veröffentlichte SAP im August nur eine einzige neue HotNews-Meldung mit einem CVSS-Wert von 9,0. Dennoch entspricht die Gesamtzahl der im August veröffentlichten Patches genau dem Monatsdurchschnitt von 2020, der deutlich höher ist als im Jahr 2019. RECON hat gezeigt, wie wichtig es ist, den SAP-Patch-Tagen Beachtung zu schenken. Es wäre jedoch ein schwerwiegender Fehler, Security Notes mit niedrigerer Bewertung zu ignorieren oder zu unterschätzen. Der CVSS-Score eines Security Notes kann nur Standardkriterien berücksichtigen. Er kann weder die individuellen Auswirkungen in einer bestimmten SAP-Installation abbilden, noch spiegelt er die Auswirkungen wider, die sich aus der Kombination mehrerer Exploits ergeben.

SAP-Sicherheitshinweise August 2020

Wie immer Onapsis Research Labs bereits Onapsis Research Labs , die Platform zu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.

Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest Onapsis“-Newsletter.

Alle SAP-Sicherheitshinweise anzeigen

Stichwörter, ,
Über den Autor

Thomas Fritsch

Als führender SAP-Sicherheitsforscher bei Onapsis gilt Thomas Fritsch als anerkannte Autorität in den Bereichen vulnerability management und neue Bedrohungen. Aufgrund seiner langjährigen Erfahrung als SAP-Experte konzentriert er sich auf hochtechnische Bereiche wie die Konfiguration von SAP-Systemen und das Transportmanagement. Thomas’ Analysen der neuesten SAP-Sicherheitspatches und -Schwachstellen sind ein zentraler Bestandteil der Forschungsarbeit, die Unternehmen die fundierten und umsetzbaren Erkenntnisse liefert, die sie zum Schutz ihrer Systeme benötigen. Seine Rolle als angesehener Redner und Autor festigt seinen Ruf als maßgebliche Stimme im Bereich der SAP-Cybersicherheit und trägt dazu bei, die Lücke zwischen komplexer Forschung und praktischen Sicherheitsmaßnahmen in der realen Welt zu schließen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen