SAP Security Patch Day August 2022: Ein ruhiger Patch Day mit SAP BusinessObjects im Fokus
Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom August gehören:
- Zusammenfassung für August – 11 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter eine HotNews -Mitteilung und drei Mitteilungen mit hoher Priorität.
- SAP Business Client-Update – Chromium-Korrekturen, die besondere Aufmerksamkeit erfordern
- Drei Sicherheitslücken in SAP BusinessObjects – Mehrere Sicherheitslücken mit CVSS-Werten zwischen 5,2 und 8,2 wurden behoben
SAP hat im Rahmen seines Patch Day im August elf neue und aktualisierte Sicherheitshinweise veröffentlicht (einschließlich der Hinweise, die seit dem Patch Tuesday im Juli veröffentlicht oder aktualisiert wurden). Darunter befinden sich ein „Hot News“-Hinweis und drei Hinweise mit hoher Priorität.
Der SAP-Patch-Day im August verlief sehr ruhig. Die einzige „Hot News“-Mitteilung ist der SAP-Sicherheitshinweis Nr. 2622660, der regelmäßige Updates für den SAP Business Client enthält, darunter die neuesten getesteten Chromium-Patches. Die Aktualisierung dieses Hinweises sowie zwei der drei Hinweise mit hoher Priorität wurden bereits Ende Juli veröffentlicht. Die einzige neue Note mit hoher Priorität ist derzeit die SAP-Sicherheitsnote Nr . 3210823, die eine Sicherheitslücke in SAP BusinessObjects behebt, die zur Offenlegung von Informationen führen kann.
HotNews-Meldung Nr. 2622660 im Detail
Kunden des SAP Business Client wissen bereits, dass Updates dieses Security Notes stets wichtige Korrekturen enthalten, die unbedingt durchgeführt werden müssen. Das neueste Update des Security Notes bezieht sich auf 52 Chromium-Korrekturen, darunter ein Problem mit der Priorität „Kritisch“ und 29 Probleme mit der Priorität „Hoch“. Die kritische Sicherheitslücke wurde von einem externen Forscher entdeckt und wird unter der Kennung CVE-2022-1853 geführt. Laut SAP lag zum Zeitpunkt der Aktualisierung des SAP-Sicherheitshinweises keine bestätigte CVSS-Bewertung vor. Eine Installation des Patches wird jedoch dringend empfohlen, da Google angibt, von öffentlich verfügbaren Exploits für einige der Schwachstellen Kenntnis zu haben.
Im Fokus: SAP BusinessObjects
SAP hat drei Sicherheitslücken in SAP BusinessObjects (BO) behoben, die zu einer Offenlegung von Informationen führen können und verschiedene Komponenten der Anwendung betreffen.
Die kritischste Schwachstelle wurde mit dem Patch „High Priority Note #3210823“ behoben, der mit einem CVSS-Wert von 8,2 versehen ist und sich auf „Open Document“ bezieht. „Open Document“ ist eine von vielen Webanwendungen, die innerhalb einer platform eingesetzt werden. Sie verarbeitet eingehende URL-Anfragen für Dokumente und alle anderen anzeigbaren Objekttypen im Central Management Server (CMS) und stellt dem Endbenutzer das richtige Dokument im entsprechenden Viewer bereit. Dadurch können Benutzer anderen Benutzern direkte Links zu einem Dokument senden und müssen nicht durch eine Ordnerhierarchie navigieren, wie beispielsweise im BI Launchpad. Die behobene Sicherheitslücke ermöglichte es einem nicht authentifizierten Angreifer, sensible Informationen im Klartext über das Netzwerk abzurufen. Dazu gehören alle Daten, die für Geschäftsanwender verfügbar sind. Die Sicherheitslücke konnte auch ausgenutzt werden, um die Anwendung durch einen automatisierten Angriff zu belasten, sodass Daten dauerhaft über das Netzwerk übertragen werden.
Die zweite Sicherheitslücke, die zur Offenlegung von Informationen führt, betrifft die Monitoring-Datenbank von SAP BO. Monitoring ist eine standardmäßige Lösung in BI 4.x zur Erfassung und Anzeige von Live-Servermetriken. Der Monitoring-Dienst erfasst die Überwachungsdaten und leitet sie an die Monitoring-Anwendung weiter, die die Daten in der Monitoring-Datenbank speichert. Die Sicherheitslücke wurde mit dem SAP-Sicherheitshinweis Nr. 3213507 behoben und mit einem CVSS-Wert von 5,2 bewertet. Dieser Wert kann sich noch ändern, da er nicht mit dem angegebenen CVSS-Vektor übereinstimmt. Gemäß dem Vektor sollte der CVSS-Wert 6,9 betragen. Im Gegensatz zur vorherigen Schwachstelle benötigt ein Angreifer für einen erfolgreichen Angriff authentifizierten Zugriff mit hohen Berechtigungen auf dasselbe physische/logische Netzwerk. In diesem Fall könnten die offengelegten Daten zu geringen Auswirkungen auf die Vertraulichkeit, aber zu hohen Auswirkungen auf die Integrität führen.
Der SAP-Sicherheitshinweis Nr . 3213524, der mit einem CVSS-Wert von 5,2 versehen ist, behebt eine Sicherheitslücke, die zur Offenlegung von Informationen in der Kommentar-Datenbank der SAP BusinessObjects Platform führt. Die Kommentarfunktion wurde mit BI 4.2 SP3 Web Intelligence eingeführt. Sie ermöglicht es Benutzern, jeden Block oder jede Zelle innerhalb eines Berichts zu kommentieren. Standardmäßig erstellt und verwaltet BI Commentary seine Tabellen in der Audit-Datenbank. SAP empfiehlt jedoch, eine dedizierte Kommentar-Datenbank für die Speicherung der Kommentare zu konfigurieren. Die Voraussetzungen für die Ausnutzung der Schwachstelle und die möglichen Auswirkungen auf die Anwendung sind genau dieselben wie bei der Schwachstelle, die mit #3213507 behoben wird.
Zwei Notizen mit hoher Priorität wurden Ende Juli veröffentlicht
Der SAP-Sicherheitshinweis Nr. 3226411, der mit einem CVSS-Wert von 8,1 bewertet wurde, behebt eine Sicherheitslücke, die eine Rechteausweitung in der SAP SuccessFactors für mobile Anwendungen (Android und iOS) ermöglicht. Die Schwachstelle ermöglicht es einem Angreifer, Anhänge in mehreren mobilen Anwendungen von SAP SuccessFactors zu lesen und zu schreiben. Aufgrund falsch konfigurierter Anwendungsendpunkte kann ein Angreifer mit Benutzerrechten über das Netzwerk Aktionen mit Administratorrechten ausführen, was zu einer vollständigen Kompromittierung der Vertraulichkeit und Integrität der Anwendung führt.
SAP hat daher die Anhangsfunktion in der mobilen Anwendung deaktiviert. Zusätzlich zu dem bereitgestellten Patch empfiehlt SAP, bestimmten Benutzern ohne Administratorrechte bestimmte Berechtigungen zu entziehen. Benutzer sollten für die betroffenen Anwendungen die Web-Benutzeroberfläche nutzen, wenn sie Anhänge verwenden möchten.
Der SAP-Sicherheitshinweis Nr. 3213141, der mit einem CVSS-Wert von 7,3 versehen ist, beschreibt eine Sicherheitslücke im SAP Landscape Management, die zur Offenlegung von Informationen führen kann. Unter bestimmten Umständen kann ein authentifizierter Benutzer des SAP Landscape Management seine Berechtigungen auf andere Systeme ausweiten und diese Systeme für die Offenlegung und Änderung von Informationen anfällig machen. Der Hinweis beschreibt detailliert die Situation, die zu einer Offenlegung von Anmeldedaten führt, die für die Verbindung zu anderen Systemen genutzt werden können. Aufgrund der Sensibilität dieser Schwachstelle werden hier keine weiteren Details beschrieben; diese sind jedoch im SAP-Hinweis nachzulesen.
Zusammenfassung und Schlussfolgerung
Mit nur 11 SAP-Sicherheitshinweisen ist der SAP-Patch-Day im August ein sehr ruhiger Patch Tuesday. Dies ermöglicht es SAP-Kunden, den Patch-Status ihrer Systeme zu überprüfen und noch ausstehende Patches aus früheren Patch-Tagen zu installieren. Es gibt keine bessere Maßnahme gegen die steigende Zahl von Angriffsversuchen auf SAP-Umgebungen, als die Patches auf dem neuesten Stand zu halten.
Onapsis Research Labs aktualisiert die Platform automatisch mit den neuesten threat intelligence Sicherheitsempfehlungen, sodass Kunden den sich ständig weiterentwickelnden Bedrohungen immer einen Schritt voraus sind und ihre Unternehmen schützen können.
Wenn Sie weitere Informationen zum aktuellen SAP Patch Day, zur SAP-Sicherheit und zu unseren kontinuierlichen Bemühungen um den Wissensaustausch mit der Sicherheits-Community erhalten möchten, abonnieren Sie unseren monatlichen Newsletter „Defender’s Digest“.