SAP Security Patch Day August 2021: Kritische Patches für verschiedene Anwendungen veröffentlicht

Von:

10. August 2021

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom August gehören:

  • Zusammenfassung für August –19 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter drei HotNews-Hinweise und sechs Hinweise mit hoher Priorität
  • Zwei Patches mit einem CVSS-Wert von 9,9 veröffentlicht –SAP Business One und SAP NetWeaver Development Infrastructure betroffen
  • Onapsis Research Labs –Der Onapsis-Forscher Yvan Genuer hat mehrere Sicherheitslücken im SAP Enterprise Portal entdeckt, von denen drei als „hochprioritär“ eingestuft wurden

SAP hat an seinem Patch Day im August 19 neue und aktualisierte Sicherheitshinweise veröffentlicht. Darunter befinden sich drei HotNews-Hinweise und sechs Hinweise mit hoher Priorität. 

Es scheint, als sei der Patch-Day im letzten Monat die „Ruhe vor dem Sturm“ gewesen. Mit insgesamt neun kritischen Patches (wobei Patches mit „HotNews“ und „High Priority“ als kritisch eingestuft werden) steht den SAP-Kunden der bislang bedeutendste SAP-Patch-Day dieses Jahres bevor. Die kleine Gruppe von SAP-Anwendungen, die 2021 von einer CVSS-9.9-Sicherheitslücke betroffen sind, wird nun um SAP Business One und SAP NetWeaver Development Infrastructure erweitert. Kunden von SAP Enterprise Portal sollten dem SAP-Patch-Day im August besondere Aufmerksamkeit schenken, da für diese Anwendung in Zusammenarbeit mit den Onapsis Research Labs vier Patches veröffentlicht wurden, von denen drei als „High Priority“ eingestuft sind .

Die HotNews-Notizen im Detail

Der SAP-Sicherheitshinweis Nr. 3071984, der mit einem CVSS-Wert von 9,9 bewertet wurde, behebt eine Sicherheitslücke in SAP Business One, die es einem Angreifer ermöglicht, Dateien, darunter auch Skriptdateien, auf den Server hochzuladen. Der einzige Grund, warum die Schwachstelle nicht mit einem CVSS-Wert von 10 bewertet wurde, ist, dass sie nur ein Mindestmaß an Berechtigungen erfordert. Glücklicherweise gibt es für Kunden, die den entsprechenden Hotfix nicht sofort anwenden können, eine Abhilfe: Sie können die betroffene Funktionalität einfach deaktivieren. Wie immer betont SAP jedoch, dass diese Abhilfe als vorübergehende Maßnahme und nicht als dauerhafte Lösung betrachtet werden sollte.

Eine weitere Schwachstelle mit einem CVSS-Wert von 9,9 wurde mit dem SAP-Sicherheitshinweis Nr . 3072955 behoben. Ein Servlet des Component Build Service in der SAP NetWeaver Development Infrastructure (SAP NWDI) war nach außen zugänglich, wodurch Angreifer durch das Senden manipulierter Abfragen Proxy-Angriffe durchführen konnten. Laut SAP hängt die Auswirkung dieser Sicherheitslücke davon ab, ob die SAP NetWeaver Development Infrastructure (NWDI) im Intranet oder im Internet betrieben wird. Wird sie im Internet betrieben, könnte diese Sicherheitslücke „sensible Daten auf dem Server vollständig kompromittieren und dessen Verfügbarkeit beeinträchtigen“.

Der dritte HotNews-Hinweis ist der SAP-Sicherheitshinweis Nr. 3078312 mit einem CVSS-Wert von 9,1. Er behebt eine SQL-Injection-Sicherheitslücke im Near Zero Downtime (NZDT)-Tool des DMIS Mobile Plug-Ins oder von SAP S/4HANA. Das Tool wird vom entsprechenden nZDT-Service von SAP für zeitoptimierte System-Upgrades und Systemumstellungen verwendet. Bei Nutzung des nZDT-Services wird die Wartung auf einem Klon des Produktionssystems durchgeführt. Alle Änderungen werden protokolliert und nach Abschluss der Wartungsaufgaben auf den Klon übertragen. Während der abschließenden Ausfallzeit werden nur wenige Aktivitäten ausgeführt, darunter die Umschaltung der Produktion auf das neue System (Klon).

Zusätzlich zu den Korrekturanweisungen, die dem Hinweis beigefügt sind, steht allen Kunden, die die UCON-Laufzeitprüfung (Unified Connectivity) aktiviert haben, eine Abhilfe zur Verfügung. Die Abhilfe für die Sicherheitslücke in dem vom nZDT-Dienst verwendeten Tool besteht darin, den verwendeten remote-fähigen Funktionsbaustein keiner Kommunikations-Assembly (CA) in UCON zuzuweisen.  

In Zusammenarbeit mit den Onapsis Research Labs wurden wichtige Patches für das SAP Enterprise Portal veröffentlicht

Besonderer Dank gilt meinem Kollegen Yvan Genuer von den Onapsis Research Labs SAP bei der Behebung von vier Sicherheitslücken im SAP Enterprise Portal unterstützt hat:

Der SAP-Sicherheitshinweis Nr . 3073681mit hoher Priorität und einem CVSS-Wert von 8,3 behebt eine Cross-Site-Scripting-Sicherheitslücke (XSS), die durch eines der Servlets des Portals verursacht wird. Eine unzureichende Sanitisierung ermöglicht das Einschleusen von JavaScript in die entsprechende Webseite. Wenn ein Opfer zu einem infizierten Servlet navigiert, wird das anfällige Skript in seinem Browser ausgeführt. Obwohl die Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Systems hoch sind, führt die Tatsache, dass der Exploit sehr komplex ist und eine Benutzerinteraktion erfordert, um erfolgreich zu sein, zu einem niedrigeren CVSS-Score. Der SAP-Sicherheitshinweis Nr. 3072920, der ebenfalls mit einem CVSS-Wert von 8,3 versehen ist, behebt eine sehr ähnliche Schwachstelle in einem anderen Servlet des SAP Enterprise Portal. Es ist daher nicht verwunderlich, dass ihm derselbe CVSS-Wert und Vektor zugewiesen wurde wie dem Hinweis Nr. 3073681.

Der dritte Hinweis mit hoher Priorität ist der SAP-Sicherheitshinweis Nr. 3074844, der mit einem CVSS-Wert von 8,1 versehen ist. Er behebt eine SSRF-Sicherheitslücke (Server Side Request Forgery) in einer der Design-Time-Komponenten des SAP Enterprise Portal. Sie ermöglicht es einem nicht authentifizierten Angreifer, eine bösartige URL zu erstellen, die, wenn sie von einem Benutzer angeklickt wird, beliebige Anfragen (z. B. POST, GET) an beliebige interne oder externe Server senden kann.

Die vierte Sicherheitslücke, die von SAP in Zusammenarbeit mit den Onapsis Research Labs behoben wurde, Onapsis Research Labs im SAP-Sicherheitshinweis Nr. 3076399 beschrieben und mit einem CVSS-Wert von 6,1 bewertet. Der Hinweis behebt eine URL-Umleitungs-Sicherheitslücke in SAP Knowledge Management. Sie ermöglicht es Angreifern, Benutzer von einem entfernten Standort aus auf beliebige Websites umzuleiten und über eine in einer Komponente gespeicherte URL Phishing-Angriffe durchzuführen. Dadurch kann der Angreifer die Vertraulichkeit und Integrität des Benutzers gefährden.   

Weitere kritische SAP-Sicherheitshinweise im August

Der SAP-Sicherheitshinweis Nr. 3057378, der mit einem CVSS-Score von 8,8 bewertet wurde, behebt einen Programmierfehler, der die Authentifizierung in allen SAP-Systemen beeinträchtigt, auf die über einen SAP Web Dispatcher zugegriffen wird, sofern eine Authentifizierung auf Basis von X.509-Client-Zertifikaten verwendet wird. Der Fehler verhindert, dass der SAP Web Dispatcher Authentifizierungsprüfungen für Funktionen durchführt, die eine Benutzeridentität erfordern. Infolgedessen kann ein Angreifer mit Netzwerkzugriff Funktionen in SAP-Anwendungssystemen mit jeder beliebigen Benutzeridentität ausführen, die einer Zuordnung zu einem X.509-Zertifikat entspricht.

Der SAP-Sicherheitshinweis Nr. 3067219, der mit einem CVSS-Wert von 7,6 bewertet wurde, behebt eine Sicherheitslücke im SAP Fiori Client Native Mobile für Android, die ein „Task Hijacking“ ermöglicht. Laut SAP können Angreifer diese Sicherheitslücke ausnutzen, um legitime Apps zu übernehmen und sensible Daten von Benutzern zu stehlen. Für SAP-Kunden, die einen angepassten Fiori-Client verwenden, gibt es eine vorübergehende Abhilfe. Diese Abhilfe hängt jedoch von der Methode ab, mit der der angepasste Fiori-Client erstellt wurde.

Der SAP-Sicherheitshinweis Nr. 3073325, der mit einem CVSS-Wert von 7 bewertet wurde, behebt eine Sicherheitslücke in SAP Business One, die auf einer fehlenden Authentifizierung beruht. Sie kann es einem Angreifer, der Zugriff auf den Browser des Opfers hat, ermöglichen, sich als das Opfer anzumelden, ohne dessen Passwort zu kennen. Der Angreifer könnte hochsensible Informationen erlangen und diese nutzen, um weitreichende control die anfällige Anwendung zu erlangen. Es gibt zwar eine optionale Abhilfe, diese scheint jedoch nicht ausreichend zu sein. Da der genannte SAP Business One-Hotfix ohnehin erforderlich ist, um den in HotNews-Hinweis Nr. 3071984 (sowie eine dritte SAP Business One-Sicherheitslücke, beschrieben in SAP-Sicherheitshinweis Nr. 3078072) beschriebene Fehler zu beheben, wird dringend empfohlen, den Hotfix anstelle der optionalen Abhilfe anzuwenden.   

Zusammenfassung und Schlussfolgerungen

Mit neunzehn neuen und aktualisierten Sicherheitshinweisen, darunter drei HotNews-Hinweise und sechs Hinweise mit hoher Priorität, ist dies ein umfangreicher SAP-Patch-Day.

Die mögliche Abhilfe für HotNews Note #3078312 zeigt deutlich, dass Sicherheitsmechanismen wie die UCON-Laufzeitprüfung (Unified Connectivity) wann immer möglich aktiviert werden sollten. Diese bieten nicht nur ein zusätzliches Maß an Sicherheit für Kundensysteme – sie ermöglichen auch eine schnelle Behebung erkannter Schwachstellen

Ein besonderer Dank gilt auch dem Sicherheitsteam bei SAP. Es hat umgehend Patches für die drei Portalprobleme mit hoher Priorität bereitgestellt. Die Onapsis Research Labs diese Schwachstellen Ende Juni 2021, und das SAP-Team stellte am darauffolgenden Patch Day Patches für diese Probleme bereit. Angesichts der großen Anzahl unterschiedlicher Releases und zu testender Umgebungen ist dies wirklich beeindruckend. Dies ist sicherlich auch das Ergebnis zweier Tatsachen:

  • Die sorgfältige Vorab-Analyse neu entdeckter Sicherheitslücken durch die Onapsis Research Labs diese an SAP gemeldet werden
  • Der gut etablierte Kommunikationskanal zwischen Onapsis und SAP, der eine schnelle Beantwortung von Fragen ermöglicht, die manchmal bei der Erstellung von Patches aufkommen 
Patch-Tag im August 2021

Wie immer aktualisiert Onapsis Research Labs die Platform Onapsis Research Labs , um neu bekannt gewordene Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.

Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest Onapsis“-Newsletter.

 

Weiterführende Literatur

Tags,
Über den Autor

Thomas Fritsch

Als führender SAP-Sicherheitsforscher bei Onapsis gilt Thomas Fritsch als anerkannte Autorität in den Bereichen vulnerability management und neue Bedrohungen. Aufgrund seiner langjährigen Erfahrung als SAP-Experte konzentriert er sich auf hochtechnische Bereiche wie die Konfiguration von SAP-Systemen und das Transportmanagement. Thomas’ Analysen der neuesten SAP-Sicherheitspatches und -Schwachstellen sind ein zentraler Bestandteil der Forschungsarbeit, die Unternehmen die fundierten und umsetzbaren Erkenntnisse liefert, die sie zum Schutz ihrer Systeme benötigen. Seine Rolle als angesehener Redner und Autor festigt seinen Ruf als maßgebliche Stimme im Bereich der SAP-Cybersicherheit und trägt dazu bei, die Lücke zwischen komplexer Forschung und praktischen Sicherheitsmaßnahmen in der realen Welt zu schließen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen