SAP-Sicherheitspatch-Tag Januar 2022: Log4j verursacht eine Rekordzahl an HotNews-Meldungen
Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Januar gehören:
- Zusammenfassung Januar – 35 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter 20 HotNews-Hinweise und sechs Hinweise mit hoher Priorität
- Informationen zu Log4j – 27 SAP-Sicherheitshinweise, darunter alle 20 HotNews -Hinweise und vier Hinweise mit hoher Priorität, beheben Log4j-Probleme
- App für Einzelzahlungen erstellen (ID F0743) – S/4HANA-App von zwei kritischen Sicherheitslücken betroffen
SAP hat an seinem Patch Day im Januar 34 neue und aktualisierte Sicherheitshinweise veröffentlicht (einschließlich der Hinweise, die seit dem letzten Patch Tuesday veröffentlicht oder aktualisiert wurden). Darunter befinden sich 20 HotNews-Hinweise und sechs Hinweise mit hoher Priorität.
Es überrascht nicht, dass die überwiegende Mehrheit der in den veröffentlichten SAP-Sicherheitshinweisen behandelten Probleme auf anfällige log4j-Versionen zurückzuführen war.
Die Log4j-Hinweise im Detail
Bei genauerer Betrachtung der Log4j-Hinweise wird deutlich, dass es für einige SAP-Anwendungen eine Möglichkeit gibt, die Anwendung von Patches für die entsprechenden Sicherheitslücken zu optimieren. Wie heute allgemein bekannt ist, wurden in der Log4j-Bibliothek mehrere Sicherheitslücken entdeckt und behoben:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ein Blick auf die Sicherheitshinweise für den Java Web Service Adapter von SAP NetWeaver Process Integration (SAP NW PI) und das XSA Cockpit zeigt, dass für jede der oben genannten log4j-Versionen separate Patches verfügbar sind:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Da es sich um inkrementelle Patches handelt, müssen betroffene SAP-Kunden nicht alle Patches installieren. Es reicht vielmehr aus, nur die SAP-Patches zu installieren, die die höchste log4j-Version enthalten.
Bei der Überprüfung aller Anwendungen im Hinblick auf Log4j hat SAP zudem eine völlig andere Sicherheitslücke (mit der Kennung CVE-2019-17571) in SAP Landscape Management Enterprise Edition 3.0 entdeckt. Diese schwerwiegende Sicherheitslücke wurde durch eine deutlich ältere Version der log4j-Bibliothek verursacht. Der SAP-Sicherheitshinweis Nr. 3132198, der mit einem CVSS-Score von 9,8 versehen ist, behebt eine Code-Injection-Schwachstelle, die durch die log4j-Version 1.2 verursacht wurde. Die log4j-Bibliothek wird von der Legacy-Komponente SAP Crystal Reports verwendet und ermöglicht es einem Angreifer, Code einzuschleusen, der von der Anwendung ausgeführt werden kann, wodurch er control vollständige control die Anwendung erlangt. Der Hinweis enthält Patch 02 für SAP Landscape Management 3.0 SP 21. Laut dem referenzierten SAP-Hinweis Nr. 3131766 entfernt dieser Patch SAP Crystal Reports vollständig. Da dies für einige Kunden ein Problem darstellen könnte, wird in dem Hinweis auch erwähnt, dass Version 1.2 der log4j-Bibliothek nicht von CVE-2021-44228 betroffen ist.
Die aktuellsten Informationen von Onapsis zur Log4j-Sicherheitslücke finden Sie in unserem Sicherheitshinweis hier.
Weitere Notizen mit hoher Priorität
Der SAP-Sicherheitshinweis Nr. 3112928, der mit einem CVSS-Wert von 8,7 bewertet wurde, behebt eine Cross-Site-Scripting- und eine Code-Injection-Sicherheitslücke in der App „Create Single Payment“ von S/4HANA (App-ID F0743). Diese App wird von Kreditorenbuchhaltern über SAP Fiori (SAPUI5) genutzt. Sie ermöglicht es ihnen, eine Direktzahlung an einen Lieferanten zu tätigen, wenn keine Rechnung vorliegt, sowie offene Lieferantenposten zu begleichen. Die beiden Schwachstellen bestanden, weil hoch- und heruntergeladene Dateien von der App nicht überprüft wurden. Die erste Schwachstelle ermöglicht es einem Angreifer mit grundlegenden Benutzerrechten, beliebigen Skriptcode auszuführen, was zur Offenlegung oder Änderung sensibler Informationen führen kann. Die zweite ermöglicht es einem Angreifer mit grundlegenden Benutzerrechten, gefährliche Inhalte oder bösartigen Code einzuschleusen, was zur Änderung kritischer Informationen oder zur vollständigen Beeinträchtigung der Verfügbarkeit der Anwendung führen könnte.
Der Hinweis mit hoher Priorität Nr. 3123196, der mit einem CVSS-Wert von 8,4 versehen ist, wurde ursprünglich am SAP-Patch-Day im Dezember veröffentlicht und behebt eine Code-Injection-Sicherheitslücke in einer Utility-Klasse für SAP NetWeaver AS ABAP. Dieser Hinweis wurde um einige Informationen zu seiner Gültigkeit ergänzt. Der ursprüngliche Gültigkeitszeitraum gilt nur für SAP-Kunden, die das lizenzgebundene Produkt Post-Copy Automation (PCA) nutzen. Für alle anderen Kunden wurde der Mindest-Patch-Level des Gültigkeitszeitraums erhöht.
Zusammenfassung und Schlussfolgerungen
Mit 35 neuen und aktualisierten Hinweisen, darunter 20 HotNews-Hinweise (die sich alle auf Log4j beziehen) sowie sechs neue und aktualisierte Hinweise mit hoher Priorität, verdeutlicht der erste SAP Patch Tuesday des Jahres 2022 eindrucksvoll die gravierenden Auswirkungen von Log4j auf SAP-Anwendungen. Da SAP-Kunden in naher Zukunft mit weiteren Patches in diesem Bereich rechnen müssen, empfehlen wir, die folgenden beiden zentralen Referenzen regelmäßig auf Aktualisierungen zu überprüfen:
- Zentraler Sicherheitshinweis zur Sicherheitslücke, die eine Remote-Codeausführung ermöglicht und mit der Apache Log4j 2-Komponente in Zusammenhang steht (SAP-Sicherheitshinweis Nr. 3131047)
- SAPs Reaktion auf die Apache Log4j-Sicherheitslücke CVE-2021-44228
Die Onapsis Research Labs aktualisieren die Platform kontinuierlich, Platform neu bekannt gewordene Sicherheitslücken zu berücksichtigen, damit unsere Kunden ihre Unternehmen schützen können.
Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest“-Newsletter.