SAP-Patch-Tag: Januar 2023

Von:

10. Januar 2023

HotNews für SAP NetWeaver AS ABAP erfordern möglicherweise Korrekturen im benutzerdefinierten Code

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Januar gehören:

  • Zusammenfassung Januar –12 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter sieben HotNews-Hinweise
  • Alle SAP-Kunden, die von den SAP HotNews-Hinweisen betroffen sind –Kritische Sicherheitslücken in SAP AS ABAP und Java behoben
  • Onapsis Research Labs –Unser Team hat SAP dabei unterstützt, eine CVSS 9.4-Sicherheitslücke in SAP AS Java zu beheben

Das neue SAP-Sicherheitsjahr hat mit 12 neuen und aktualisierten SAP-Sicherheitshinweisen begonnen, darunter vier neue und drei aktualisierte HotNews-Hinweise.

Die drei aktualisierten HotNews-Hinweise umfassen die SAP-Sicherheitshinweise Nr. 3267780 und Nr. 3273480, die ursprünglich im Dezember 2022 von SAP veröffentlicht wurden. Sie beheben zwei Control im Zusammenhang mit unzureichender Control in SAP NetWeaver AS Java, die von den Onapsis Research Labsentdeckt wurden. Die aktualisierten Hinweise enthalten Patches für weitere Support-Paket-Levels von SAP NW AS Java 7.50.

Der SAP-Sicherheitshinweis Nr. 3243924, der mit einem CVSS-Wert von 9,9 bewertet wurde, war der kritischste Patch des SAP-Patch-Days im November 2022 und betraf Kunden von SAP BusinessObjects. Das Update enthält eine Erweiterung der vorgeschlagenen Abhilfe und weist darauf hin, dass zwei Webseiten nach Anwendung der Abhilfe nicht mehr erreichbar sind.

Die HotNews-Notizen im Detail

Der SAP-Sicherheitshinweis Nr. 3089413 weist zwar den niedrigsten CVSS-Wert aller neuen HotNews-Hinweise auf (CVSS 9,0), ist jedoch möglicherweise der kritischste des SAP-Patch-Days im Januar, da er die Mehrheit aller SAP-Kunden betrifft und seine Behebung eine Herausforderung darstellt. Eine Capture-Replay-Schwachstelle in der Architektur von „trusted-trusting“-RFC- und HTTP-Kommunikationsszenarien ermöglicht es böswilligen Benutzern, sich unberechtigten Zugriff auf ein SAP-System zu verschaffen. Die vollständige Behebung der Schwachstelle umfasst die Anwendung eines Kernel-Patches, eines ABAP-Patches sowie eine manuelle Migration aller vertrauenswürdigen RFC- und HTTP-Ziele. Beide Systeme eines Kommunikationsszenarios müssen gepatcht werden, um die Schwachstelle zu beheben. 

Das Entwicklungsteam muss einbezogen werden, um den Code anzupassen, wenn in benutzerdefiniertem Code dynamische Ziele verwendet werden oder wenn dieser Code die Generierung permanenter oder temporärer RFC-Ziele über die SAP-API unter Verwendung von „trusted/trusting“-Beziehungen beinhaltet. 

Die Tatsache, dass SAP ausdrücklich empfiehlt, vor der Installation des Patches eine Sicherung der betroffenen Systeme durchzuführen, deutet darauf hin, dass Kunden sich auf unvorhergesehene Probleme während des Patch- und Migrationsprozesses einstellen müssen. Der Hinweis verweist auf eine Anleitung in SAP-Hinweis Nr. 3281854 für die manuellen Migrationsschritte sowie auf eine FAQ-Liste in SAP-Hinweis Nr. 3157268. Dort finden Kunden Antworten auf wichtige Fragen wie:

  • Wie kann ich die Angriffsfläche verringern?
  • Funktionieren alte vertrauenswürdige/vertrauende Verbindungen weiterhin, nachdem auf einem System der erforderliche Kernel-Patch und der ABAP-Service-Level bzw. der ABAP-Patch installiert wurden?
  • Funktionieren Vertrauensbeziehungen während der Migration?
  • Was passiert, wenn nur eine Seite einer Vertrauensbeziehung die entsprechenden Korrekturanweisungen umgesetzt hat?
  • Wie passe ich den betroffenen benutzerdefinierten Code an?

SAP-Kunden, deren Fragen in den FAQ nicht behandelt werden, empfehlen wir dringend, sich die Webcasts zu den SAP-Sicherheitshinweisen der American SAP User Group (ASUG) und der Deutschsprachigen SAP-Anwendergruppe (DSAG) anzusehen. Weitere Informationen finden Sie im Patch-Day-Blog von SAP

An der Spitze der vier neuen HotNews-Hinweise stehen zwei Schwachstellen mit einem CVSS-Wert von 9,9. Der SAP-Sicherheitshinweis Nr. 3262810 behebt eine kritische Code-Injection-Schwachstelle in platform SAP BusinessObjects Business platform Analysis Edition für OLAP). Die Schwachstelle kann von einem authentifizierten Angreifer über das Netzwerk ausgenutzt werden und erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung haben. Der Hinweis enthält einen Patch sowie eine Abhilfe für Kunden, die diesen Patch nicht sofort installieren können. Diese Abhilfe kann jedoch nur als vorübergehende Lösung dienen, da sie den betroffenen Dienst entfernt, stoppt oder deaktiviert.

Der SAP-Sicherheitshinweis Nr. 3275391 behebt die zweite Sicherheitslücke mit einem CVSS-Wert von 9,9. Durch Ausnutzung dieser Sicherheitslücke kann ein nicht authentifizierter Angreifer manipulierte Datenbankabfragen in SAP Business Planning and Consolidation Microsoft (SAP BPC MS) ausführen. Die manipulierten Abfragen können Befehle enthalten, mit denen beliebige Daten aus der Backend-Datenbank gelesen, geändert oder gelöscht werden können.

Der SAP-Sicherheitshinweis Nr. 3268093, der mit einem CVSS-Wert von 9,4 versehen ist, ist das Ergebnis der kontinuierlichen Sicherheitsforschung der Onapsis Research Labs(ORL). Nachdem das Messaging-System und die benutzerdefinierte Suche in SAP NW AS Java als anfällig für control unzureichende control identifiziert worden waren control siehe die aktualisierten HotNews-Hinweise Nr. 3267780 und Nr. 3273480), erkannte unser ORL-Team ein ähnliches Problem im rfcengine P4-Dienst. Die Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer, sich an eine offene Schnittstelle des Dienstes anzuschließen. Anschließend kann er eine offene Naming- und Directory-API nutzen, um auf Dienste zuzugreifen. Dies kann dazu genutzt werden, unbefugte Operationen durchzuführen, die Benutzer und Daten auf dem aktuellen System betreffen. Dadurch könnte der Angreifer vollständigen Lesezugriff auf Benutzerdaten erhalten, Änderungen an Benutzerdaten vornehmen und bestimmte Dienste innerhalb des Systems unzugänglich machen.

Zusammenfassung und Schlussfolgerungen

Auf den ersten Blick scheint das Jahr mit einem ruhigen SAP-Patch-Day zu beginnen. Mit nur neun neuen Sicherheitshinweisen, darunter vier HotNews-Hinweise, scheinen die Patch-Aufgaben überschaubar zu sein. Der HotNews-Hinweis Nr. 3089413 könnte jedoch viele SAP-Kunden betreffen, und die Komplexität der Abhilfemaßnahmen lässt auf einen hohen Arbeitsaufwand für SAP-Administratoren und möglicherweise auch für SAP-Entwicklungsabteilungen schließen.
 

SAP-Hinweis

Typ

Beschreibung

Priorität

CVSS

3262810

 

Neu

[CVE-2023-0022] Sicherheitslücke durch Code-Injektion in platform SAP BusinessObjects Business platform Analysis Edition für OLAP)

BI-RA-AWB

Aktuelles

9,9

3150704

 

Neu

[CVE-2023-0023] Offenlegung von Informationen in der SAP-Bankkontenverwaltung (Manage Banks)

FIN-FSCM-CLM-BAM   

Mittel

4,5

3283283

 

Neu

[CVE-2023-0013] Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP NetWeaver AS für ABAP und Platform

BC-ABA-LA

Mittel

6,1

3268093

  

 

Neu

[CVE-2023-0017] Unzureichende control SAP NetWeaver AS for Java

BC-MID-CON-JCO

Aktuelles

9,4

3266006

  

 

 

Neu

[CVE-2023-0018] Cross-Site-Scripting-Sicherheitslücke (XSS) in Platform SAP BusinessObjects Business Intelligence Platform zentrale Verwaltungskonsole)

BI-RA-CR

Mittel

5,4

3089413

  

 

 

Neu

[CVE-2023-0014] Capture-Replay-Sicherheitslücke in SAP NetWeaver AS für ABAP und Platform ABAP Platform

BC-MID-RFC

Aktuelles

9,0

3275391

  

 

 

Neu

[CVE-2023-0016] SQL-Injection-Sicherheitslücke in SAP Business Planning and Consolidation MS

EPM-BPC-MS

Aktuelles

9,9

3251447

  

 

 

Neu

[CVE-2023-0015] Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP BusinessObjects Business Intelligence (Web Intelligence)

BI-RA-WBI-FE

Mittel

4,6

3276120

  

 

Neu

[CVE-2023-0012] Lokale Rechteausweitung im SAP Host Agent (Windows)

BC-CCM-HAG

Mittel

6,4

3243924

  

 

 

Aktualisierung

[CVE-2022-41203] Unsichere Deserialisierung nicht vertrauenswürdiger Daten in Platform SAP BusinessObjects Business Intelligence Platform Central Management Console und BI Launchpad)

BI-RA-WBI-FE

Aktuelles

9,9

3267780

  

 

 

Aktualisierung

[CVE-2022-41271] Unzureichende control SAP NetWeaver AS Java (Messaging-System)

BC-XI-CON-MSG

Aktuelles

9,4

3273480

  

 

 

Aktualisierung

[CVE-2022-41272] Unzureichende control SAP NetWeaver AS Java (benutzerdefinierte Suche)

BC-XI-CON-UDS

  

Aktuelles

9,9
 

 

Wie immer Onapsis Research Labs bereits Onapsis Research Labs , die Platform zu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.

Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest Onapsis“-Newsletter.

Tags,
Über den Autor

Thomas Fritsch

Als führender SAP-Sicherheitsforscher bei Onapsis gilt Thomas Fritsch als anerkannte Autorität in den Bereichen vulnerability management und neue Bedrohungen. Aufgrund seiner langjährigen Erfahrung als SAP-Experte konzentriert er sich auf hochtechnische Bereiche wie die Konfiguration von SAP-Systemen und das Transportmanagement. Thomas’ Analysen der neuesten SAP-Sicherheitspatches und -Schwachstellen sind ein zentraler Bestandteil der Forschungsarbeit, die Unternehmen die fundierten und umsetzbaren Erkenntnisse liefert, die sie zum Schutz ihrer Systeme benötigen. Seine Rolle als angesehener Redner und Autor festigt seinen Ruf als maßgebliche Stimme im Bereich der SAP-Cybersicherheit und trägt dazu bei, die Lücke zwischen komplexer Forschung und praktischen Sicherheitsmaßnahmen in der realen Welt zu schließen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen