SAP Security Patch Day Februar 2021: Kritischer Patch für SAP Commerce veröffentlicht

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Februar gehören:

• Zusammenfassung für Februar—20 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter drei HotNews-Hinweise und zwei Hinweise mit hoher Priorität
• Schwerwiegende Sicherheitslücke in SAP Commerce – Eine Fehlkonfiguration der Standardbenutzerberechtigungen kann zu einer vollständigen Kompromittierung des Systems führen
• Mehrere Sicherheitslücken im Zusammenhang mit „Reverse Tabnabbing“ behoben—Mehrere Anwendungen sind von diesem oft unterschätzten Problem betroffen

SAP hat am Patch Day im Februar 20 neue und aktualisierte SAP-Sicherheitshinweise veröffentlicht, darunter auch die Hinweise, die seit dem letzten Patch Day erschienen sind.

Im Rahmen des Patch-Releases dieses Monats gibt es drei HotNews-Meldungen und zwei Meldungen mit hoher Priorität.

Aber auch hier lohnt es sich, diese Zahlen einmal genauer unter die Lupe zu nehmen.

Einer der drei HotNews-Hinweise , der SAP-Sicherheitshinweis Nr. 2986980 mit einem CVSS-Wert von 9,9, wurde ursprünglich am Patch-Tag im Januar veröffentlicht. Der Hinweis enthält einen Patch für eine kritische SQL-Injection- und fehlende Autorisierungsschwachstelle in der Datenbankschnittstelle von SAP Business Warehouse. Er wurde seit seiner ersten Veröffentlichung zweimal aktualisiert, und es sind nun Patches für weitere Support-Paket-Levels sowie für BW-Releases von BW 7.0 bis 7.02 verfügbar.

Ein weiterer HotNews-Hinweis ist der SAP-Sicherheitshinweis Nr. 2622660, der als fester Bestandteil des Patch-Tages ein neues Update für den SAP Business Client bereitstellt. Diese Updates werden meist durch neu verfügbare Chromium-Patches ausgelöst. Der neueste Patch für den SAP Business Client enthält die Chromium-Version 87.0.4280.66, die 11 Sicherheitsprobleme mit hoher Priorität behebt – von insgesamt 33. Hier sind sehr bald weitere Updates zu erwarten, da es derzeit im Internet viel Aufsehen um die Chromium-Zero-Day-Sicherheitslücke CVE-2021-21148 gibt. Laut Google wurde der entsprechende „Heap-Overflow“-Speicherbeschädigungsfehler in der V8-JavaScript-Engine bereits in Angriffen in freier Wildbahn ausgenutzt. Daher ist bald mit einem weiteren SAP Business Client-Patch zu rechnen, der Chromium-Version 88.0.4324.150 enthält. Der einzige Zweck dieser Chromium-Version, die am 4. Februar von Google veröffentlicht wurde, bestand darin, CVE-2021-21148 zu beheben.

Die beiden aktualisierten Sicherheitshinweise mit hoher Priorität , die SAP-Sicherheitshinweise Nr. 3000306 und Nr. 2993132, die mit einem CVSS-Wert von 7,5 bzw. 7,6 versehen sind und SAP NetWeaver AS ABAP, Platform SAP S/4HANA betreffen, wurden Ende Januar veröffentlicht. Während der Hinweis#3000306 einige Einschränkungen hinsichtlich seiner Gültigkeit enthält, umfasst der Hinweis#2993132 Aktualisierungen der Korrekturanweisungen.

Im Fokus: SAP Commerce

Der kritischste Patch des SAP-Patch-Days im Februar ist der einzige neue HotNews-Eintrag Nr. 3014121, der mit einem CVSS-Wert von 9,9 versehen ist. Dieser Patch behebt eine schwerwiegende Code-Injection-Sicherheitslücke in SAP Commerce. Betroffen sind nur SAP-Commerce-Installationen, bei denen die Rule-Engine-Erweiterung installiert ist. Da diese Erweiterung jedoch ein gängiger Bestandteil von SAP-Commerce-Installationen ist, betrifft der Patch den Großteil dieser Installationen.

Die Regel-Engine basiert auf einer Engine namens Drools. Sie dient dazu, eine Reihe von Regeln zu definieren und auszuführen, mit denen sich selbst äußerst komplexe Entscheidungsszenarien bewältigen lassen. Drools-Regeln enthalten ein „ruleContent“-Attribut, das Skriptfunktionen bereitstellt. Das Ändern von „ruleContent“ sollte normalerweise auf Benutzer mit hohen Berechtigungen beschränkt sein, wie z. B. „admin“ und andere Mitglieder der „admingroup“. Aufgrund einer Fehlkonfiguration der Standardbenutzerberechtigungen, die mit SAP Commerce ausgeliefert werden, erhalten mehrere Benutzer und Benutzergruppen mit geringeren Berechtigungen die Berechtigung, DroolsRule-ruleContents zu ändern, und erhalten somit unbeabsichtigten Zugriff auf diese Skriptfunktionen. Dies ermöglicht es unbefugten Benutzern, bösartigen Code in diese Skripte einzuschleusen, was erhebliche negative Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung hat. 

Die bereitgestellten Patches korrigieren lediglich die Standardberechtigungen bei der Initialisierung einer neuen Installation von SAP Commerce. Bei bestehenden Installationen von SAP Commerce sind zusätzliche manuelle Korrekturmaßnahmen erforderlich. Die gute Nachricht ist, dass diese manuellen Korrekturmaßnahmen bei bestehenden Installationen als vollständige Abhilfe für SAP-Commerce-Installationen dienen können, bei denen die neuesten Patch-Versionen nicht rechtzeitig installiert werden können.

Die größte Sicherheitslücke im Februar: Reverse Tabnabbing

Bei der Betrachtung der 13 SAP-Sicherheitshinweise, die am Patch Day im Februar erstmals veröffentlicht wurden, fällt auf, dass fünf dieser Hinweise eine „Reverse Tabnabbing“-Sicherheitslücke beheben (wobei jeder einzelne eine Web-UI-Technologie bzw. ein Web-UI-Framework betrifft; Einzelheiten finden Sie im SAP-Knowledge-Base-Artikel Nr. 3014875). Es lohnt sich daher, diese Art von Sicherheitslücke genauer unter die Lupe zu nehmen.

Manche Links sind so eingerichtet, dass das verlinkte Dokument in einem neuen Browser-Tab oder -Fenster geöffnet wird. Dies lässt sich sowohl mit HTML als auch mit JavaScript bewerkstelligen. In HTML reicht es aus, als Wert für das „target“-Attribut des Anker-Elements „_blank“ anzugeben:

Angenommen, meine Bank-Website „mybank.com“ enthält einen Link zu einem ihrer Partner. Der Link:

<a href=”https://ourpartner.com” target=”_blank”>Visit our partner page!</a>
will open the partner page in a new browser tab.
Using the JavaScript DOM API, the same can be achieved by simply invoking window.open:

window.open(„https://ourpartner.com“);

Da der Browser das neue Fenster im selben Prozess wie das erste Fenster ausführt, ist eine gewisse Interaktion zwischen den beiden möglich, selbst wenn sich die Quellseite und die Zielseite in unterschiedlichen Domänen befinden.

Konkret ermöglicht dies, dass das verlinkte Dokument die erste Registerkarte des Browsers mit der ursprünglichen Quellseite aufruft. Auf diese Weise kann die Zielseite die ursprüngliche Seite ohne jegliche Interaktion des Nutzers auf eine Phishing-Seite umleiten bzw. durch diese ersetzen.

Mit diesem Code-Schnipsel,

<script>
     const url = “fakebank.com”;
     window.opener.location.replace(url);
</script>

Das verlinkte Zieldokument kann die ursprüngliche Seite von mybank.com im ersten Browser-Tab durch eine Phishing-Seite von fakebank.com ersetzen, die möglicherweise genau gleich aussieht. Durch die Bereitstellung eines Anmeldedialogs auf dieser Seite kann die bösartige Website fakebank.com die eingegebenen Anmeldedaten anschließend an einen externen Server des Angreifers senden.

Glücklicherweise lässt sich diese Art von Sicherheitslücke leicht beheben. Fügen Sie bei HTML-Links das rel-Attribut hinzu:

<a href=”https://ourpartner.com” target=”_blank” rel=”noopener noreferrer”> Visit our partner page!</a>

Anstatt den „noreferrer“-Parameter bei jedem Link einzeln festzulegen, kann man ihn auch in den HTTP-Header einfügen:

Referrer-Policy: noreferrer

Darüber hinaus haben verschiedene große Browser-Anbieter damit begonnen, bei der Verwendung von `target="_blank"` standardmäßig das Verhalten von „rel=noopener“ zu implementieren.

Die JavaScript-Version lässt sich wie folgt entschärfen:

function openPopup(url, name, options){
  // Open the popup and set the opener and referrer policy instruction
  var newWin = window.open(null, name, ‘noopener,noreferrer,’ + options);
  // Reset the opener link
  newWin.opener = null;
  // Now load the correct url
  newWin.location = url; }

Zusammenfassung und Schlussfolgerungen

Mit nur 13 „wirklich“ neuen SAP-Sicherheitshinweisen verlief der Patch-Day im Februar bei SAP erneut relativ „ruhig“.

Der einzige neue kritische Patch (Priorität „HotNews“ oder „High“) wurde für SAP Commerce veröffentlicht. Dies gibt betroffenen Kunden Zeit, die beschriebenen manuellen Abhilfemaßnahmen für ihre bestehenden Installationen durchzuführen. Angesichts des zugewiesenen CVSS-Werts von 9,9 und der potenziellen Auswirkungen auf die Anwendung wird dringend empfohlen, die Sicherheitslücke so schnell wie möglich zu schließen.

Während es bei früheren Patch-Tagen noch fast unbekannt war, war „Reverse Tabnabbing“ diesmal die am häufigsten auftretende Sicherheitslücke. Obwohl sich diese Art von Sicherheitslücke sehr leicht vermeiden lässt, ist sie in fast allen der weltweit größten Webanwendungen zu finden.

Wie immer Onapsis Research Labs die Onapsis Research Labs bereits Onapsis Research Labs , die Platform zu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.

Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest Onapsis“-Newsletter.