SAP-Sicherheitspatch-Tag: Dezember 2022

Von:

13. Dezember 2022

SAP NetWeaver Process Integration von zwei HotNews-Sicherheitslücken betroffen

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Dezember gehören:

  • Zusammenfassung für Dezember – Es wurden zwanzig neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter fünf „HotNews“-Hinweise und fünf Hinweise mit hoher Priorität. 
  • SAP NW Process Integration (PI) im Fokus – Aktuelle Sicherheitslücken im Messaging-System und bei der benutzerdefinierten Suche erfordern dringende Patches
  • Onapsis Research Labs – Onapsis Research Labs zur Behebung von fünf Sicherheitslücken Onapsis Research Labs , darunter die beiden in den HotNews genannten Schwachstellen in SAP PI sowie eine Meldung mit hoher Priorität, die alle auf SAP NW ABAP laufenden Anwendungen betrifft

SAP hat an seinem Patch Day im Dezember zwanzig neue und aktualisierte Sicherheitshinweise veröffentlicht (einschließlich der Hinweise, die seit dem letzten Patch Tuesday veröffentlicht oder aktualisiert wurden). Darunter befinden sich fünf HotNews-Hinweise und fünf Hinweise mit hoher Priorität. 

Einer der fünf HotNews-Hinweise ist der regelmäßig erscheinende SAP-Sicherheitshinweis Nr. 2622660, der ein Update für den SAP Business Client einschließlich der neuesten unterstützten Chromium-Patches bereitstellt. Der SAP Business Client unterstützt nun Chromium-Version 107.0.5304.122, die im Vergleich zur zuletzt unterstützten Version insgesamt vierunddreißig Sicherheitslücken behebt, darunter vierundzwanzig Sicherheitslücken mit hoher Priorität. Der maximale CVSS-Wert aller behobenen Sicherheitslücken beträgt 9,6.

Der Hinweis mit hoher Priorität Nr . 3249990 wurde ursprünglich am SAP-Patch-Day im November als „HotNews“ veröffentlicht und wurde inzwischen herabgestuft. Eine der beiden genannten Sicherheitslücken in der mit SAPUI5 gebündelten SQLite-Bibliothek wurde fünf Tage nach der Veröffentlichung zurückgewiesen.

Der Hinweis mit hoher Priorität Nr . 3229132 enthält ein Update zur vorgeschlagenen Abhilfemaßnahme. Er behebt eine Sicherheitslücke, die zur Offenlegung von Informationen in Platform SAP BusinessObjects Business Intelligence Platform wurde ursprünglich im Oktober veröffentlicht.  

Die neuen HotNews-Notizen im Detail

Die Onapsis Research Labs ORL) haben zur Behebung von zwei kritischen Sicherheitslücken in SAP NetWeaver Process Integration (PI) beigetragen. Die ORL stellten fest, dass das Messaging-System und die benutzerdefinierte Suche in SAP PI Dienste über das P4-Protokoll bereitstellen, für die keine Benutzerauthentifizierung erforderlich ist. Dies ermöglicht es Angreifern, eine offene Namens- und Verzeichnis-API zu nutzen, um auf Dienste zuzugreifen, die unbefugte Vorgänge ausführen könnten. Der SAP-Sicherheitshinweis Nr. 3273480, der mit einem CVSS-Score von 9,9 versehen ist, behebt die Schwachstelle in der benutzerdefinierten Suche. Der SAP-Sicherheitshinweis Nr. 3267780, der mit einem CVSS-Score von 9,4 versehen ist, enthält den entsprechenden Patch für das Messaging-System. Beide Patches erzwingen eine Benutzerauthentifizierung und prüfen die entsprechenden Berechtigungen. Die folgenden Rollen der User Management Engine (UME) werden durch die neuen Berechtigungen erweitert:

  • SAP_XI_ADMINISTRATOR_J2EE – Vollzugriff
  • SAP_XI_CONFIGURATOR_J2EE und SAP_XI_DEVELOPER_J2EE – Lese- und Schreibzugriff
  • NWA_READONLY – Lesezugriff

Der SAP-Sicherheitshinweis Nr. 3239475, der mit einem CVSS-Wert von 9,9 bewertet wurde, behebt eine kritische Server-Side-Request-Forgery-Sicherheitslücke in Platform SAP BusinessObjects Business Intelligence Platform. Da für die Ausnutzung dieser Schwachstelle nur minimale Berechtigungen erforderlich sind, wird verhindert, dass ihr der maximale CVSS-Wert von 10 zugewiesen wird. Angreifer mit „normalen BI-Benutzerrechten“ sind in der Lage, beliebige Dateien auf Betriebssystemebene auf den BusinessObjects-Server hochzuladen und dort zu ersetzen. Dadurch kann der Angreifer control vollständige control das System erlangen, was erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung hat. Der CVSS-Score sowie die hohe Auswirkungsstufe machen diese Schwachstelle zur kritischsten des Patch Day im Dezember – zumindest für Kunden von SAP BusinessObjects Business.

Die gleiche Auswirkung betrifft SAP-Commerce-Kunden im Zusammenhang mit dem SAP-Sicherheitshinweis Nr. 3271523. Dieser Hinweis ist mit einem CVSS-Score von 9,8 versehen und behebt eine weitere HotNews-Sicherheitslücke. Die Sicherheitslücke betrifft SAP Commerce und wird durch eine Version der Open-Source-Java-Bibliothek Apache Commons Text verursacht, die für CVE-2022-42889 anfällig ist. Unter bestimmten Umständen kann die betroffene Version anfällig für die Ausführung von Remote-Code oder unbeabsichtigte Verbindungen zu Remote-Servern sein, wenn nicht vertrauenswürdige Konfigurationswerte verwendet werden.

SAP-Sicherheitshinweise mit hoher Priorität

Während alle neuen HotNews-Hinweise nur bestimmte SAP-Anwendungen betreffen, hat die mit dem CVSS-Score 8,8 bewertete Sicherheitslücke, die mit dem SAP-Sicherheitshinweis Nr . 3268172 behoben wurde, Auswirkungen auf einen weitaus größeren Kreis von SAP-Kunden, da sie in der SAP-BASIS-Softwarekomponente enthalten ist. Die Onapsis Research Labs , dass ein remote-fähiger Funktionsbaustein der Komponente es einem authentifizierten Angreifer ermöglicht, auf eine Systemklasse zuzugreifen und beliebige ihrer öffentlichen Methoden unter Verwendung von vom Angreifer bereitgestellten Parametern auszuführen. Bei erfolgreicher Ausnutzung kann der Angreifer control vollständige control das System erlangen, was erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung hat.

Der Hinweis mit hoher Priorität Nr. 3271091, der mit einem CVSS-Wert von 8,5 versehen ist, behebt eine Sicherheitslücke im Zusammenhang mit der Rechteausweitung in SAP Business Planning and Consolidation. Dem Hinweis zufolge enthält eine mit dieser Anwendung ausgelieferte Standardrolle Berechtigungen zum Starten von Kundentransaktionen. Durch die Implementierung eines solchen Transaktionscodes können Angreifer unbefugte Transaktionsfunktionen ausführen, wodurch sie ihre Rechte ausweiten und Systemdaten lesen, ändern oder löschen können.

Ich habe die betroffene Rolle auf zwei unserer Onapsis-Testsysteme überprüft, und die Situation scheint kritischer zu sein. Während die Rolle Berechtigungen für Transaktionen der UJ*-Reihe enthält (die laut Quellcode des Funktionsbausteins TRINT_GET_NAMESPACE keinen reservierten Kundennamensraum für Transaktionen darstellen), gewährt das zugehörige Profil die Berechtigung zur Ausführung aller Transaktionen. Das bedeutet, dass Benutzer, denen die betroffene Rolle zugewiesen ist, jede beliebige Transaktion im SAP-System ausführen können. Kunden sollten das Profil für die Rolle unbedingt wie im Hinweis beschrieben neu generieren. Da Rollen und Profile nicht über automatische Korrekturanweisungen ausgeliefert werden können, bezieht sich der Hinweis nur auf die Patching-Support-Pakete.

Eine Cross-Site-Scripting-Sicherheitslücke in SAP Commerce ermöglicht es Angreifern, Benutzer-Tokens zu stehlen und die vollständige Kontrolle über ein Konto zu erlangen, einschließlich des Zugriffs auf Verwaltungstools in SAP Commerce. Diese Sicherheitslücke wird in der SAP-Sicherheitsmitteilung Nr. 3248255 behandelt und mit einem CVSS-Wert von 8 bewertet. Die gute Nachricht ist, dass die entsprechenden Patch-Versionen auch die Behebung der in der SAP-Sicherheitsmitteilung Nr. 3271523 beschriebenen „HotNews“-Sicherheitslücke enthalten.

Onapsis Research Labs

Unser Team hat SAP nicht nur dabei unterstützt, die kritischen Sicherheitslücken in SAP PI und in der SAP-BASIS-Komponente zu beheben, sondern auch dazu beigetragen, zwei Sicherheitslücken im SAP SolutionManager zu schließen. 

Die erste Sicherheitslücke betrifft die Enterprise-Search-Anwendung des SAP SolutionManager und ermöglicht es nicht authentifizierten Angreifern, einen angemeldeten Benutzer auf eine bösartige Webseite umzuleiten, über die vertrauliche Informationen ausgelesen oder verändert werden können oder der Benutzer einem Phishing-Angriff ausgesetzt wird. Die Sicherheitslücke wurde mit dem SAP-Sicherheitshinweis Nr. 3271313 behoben und mit einem CVSS-Wert von 6,1 bewertet.

Das ORL-Team hat zudem eine mangelhafte control SAP SolutionManager Diagnostics Agent aufgedeckt, die zu unbefugtem Zugriff auf Dateien und das System führen könnte. Der entsprechende Patch ist in der SAP-Sicherheitsmitteilung Nr . 3265173 enthalten, die mit einem CVSS-Score von 6,0 versehen ist.

Zusammenfassung und Schlussfolgerungen

Mit zwanzig neuen und aktualisierten SAP-Sicherheitshinweisen, darunter fünf HotNews-Hinweise und fünf Hinweise mit hoher Priorität, ist der letzte SAP-Patch-Day des Jahres ein ereignisreicher Tag. Es war ein außergewöhnliches Jahr für alle, die für die SAP-Sicherheit verantwortlich sind. Ich bin begeistert von dem Beitrag, den die Onapsis Research Labs zur Behebung zahlreicher schwerwiegender Sicherheitslücken leisten Onapsis Research Labs . Ich schätze auch ihre Fähigkeit, mit dem SAP-Sicherheitsteam zusammenzuarbeiten, um das Bewusstsein der SAP-Kunden für ihre Systemsicherheit zu schärfen und ihnen den bestmöglichen Schutz zu bieten.   

Onapsis Research Labs aktualisiert die Platform Onapsis Research Labs mit den neuesten threat intelligence Sicherheitsempfehlungen, damit unsere Kunden den sich ständig weiterentwickelnden Bedrohungen immer einen Schritt voraus sind und ihre Unternehmen schützen können.

Weitere Informationen zu den neuesten SAP-Sicherheitsproblemen und unseren kontinuierlichen Bemühungen, Wissen mit der Sicherheits-Community zu teilen, finden Sie in unseren früheren „Patch Day“-Blogbeiträgen. Abonnieren Sie außerdem unseren monatlichen „Defender’s Digest“-Newsletter.

Stichworte
Über den Autor

Thomas Fritsch

Als führender SAP-Sicherheitsforscher bei Onapsis gilt Thomas Fritsch als anerkannte Autorität in den Bereichen vulnerability management und neue Bedrohungen. Aufgrund seiner langjährigen Erfahrung als SAP-Experte konzentriert er sich auf hochtechnische Bereiche wie die Konfiguration von SAP-Systemen und das Transportmanagement. Thomas’ Analysen der neuesten SAP-Sicherheitspatches und -Schwachstellen sind ein zentraler Bestandteil der Forschungsarbeit, die Unternehmen die fundierten und umsetzbaren Erkenntnisse liefert, die sie zum Schutz ihrer Systeme benötigen. Seine Rolle als angesehener Redner und Autor festigt seinen Ruf als maßgebliche Stimme im Bereich der SAP-Cybersicherheit und trägt dazu bei, die Lücke zwischen komplexer Forschung und praktischen Sicherheitsmaßnahmen in der realen Welt zu schließen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen