SAP Security Patch Day Juli 2021: Schwerwiegende Sicherheitslücken in SAP NetWeaver AS Java behoben

Von:

13. Juli 2021

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Juli gehören:

  • Zusammenfassung für Juli– 16 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter zwei HotNews-Hinweise und zwei Hinweise mit hoher Priorität
  • Der höchste CVSS-Wert der behobenen Sicherheitslücken liegt bei 8,8– Der neue SAP Business Client-Patch enthält Google Chromium 91.0.4472.101
  • Onapsis Research Labs – Unser Team hat SAP dabei unterstützt, zwei Sicherheitslücken in SAP NetWeaver AS Java zu beheben – eine davon mit hoher Priorität

SAP® hat an seinem Patch Day im Juli 16 neue und aktualisierte Sicherheitshinweise veröffentlicht. Darunter befinden sich zwei „HotNews“-Hinweise und zwei Hinweise mit hoher Priorität

Bei genauerer Betrachtung der wichtigsten Sicherheitshinweise wird jedoch deutlich, dass der SAP-Patch-Day im Juli weitgehend ereignislos verläuft.

Die Schwachstelle mit dem höchsten CVSS-Wert wird durch das neueste SAP Business Client-Update behoben, das mit der HotNews-Meldung Nr. 2622660 bereitgestellt wird. Die Schwachstellen, die durch das enthaltene Google Chromium-Update behoben werden, haben einen maximalen CVSS-Wert von 8,8 (beachten Sie, dass der mit der Meldung verbundene CVSS-Wert von 10 den höchsten jemals verzeichneten Wert aller Schwachstellen darstellt, die in der Vergangenheit mit dieser Meldung behoben wurden). Aus diesem Grund wird die Note de facto als Note mit hoher Priorität und nicht als HotNews-Note betrachtet. Die enthaltene Google Chromium-Version 91.0.4472.101 umfasst 67 Patches, von denen einer als kritisch und 28 als hochprioritär eingestuft sind (die letzten beiden Zahlen berücksichtigen nur extern gemeldete Schwachstellen). Der kritische Patch sowie die Tatsache, dass Google bestätigt hat, dass die gepatchte Schwachstelle mit hoher Priorität im Zusammenhang mit CVE-2021-30551 bereits in der Praxis ausgenutzt wurde, bedeuten, dass SAP-Business-Kunden das neue SAP-Business-Client-Update unverzüglich installieren sollten.

Der zweite HotNews-Hinweis, der SAP-Sicherheitshinweis Nr. 3007182, ist mit einem CVSS-Wert von 9,0 versehen (und hat somit formal einen höheren CVSS-Wert als Hinweis Nr. 2622660), enthält jedoch lediglich eine geringfügige Aktualisierung zu einer Sicherheitslücke, die ursprünglich am Patch Day im Juni behoben wurde. SAP hat dem Abschnitt „Support-Pakete“ eine weitere SP-Stack-Kernel-Version hinzugefügt.

 

Im Fokus: SAP NetWeaver AS Java

SAP hat an seinem Patch Day im Juli zwei Hinweise mit hoher Priorität veröffentlicht:

Der SAP-Sicherheitshinweis Nr. 3059446, der mit einem CVSS-Wert von 7,6 versehen ist, behebt eine Sicherheitslücke aufgrund fehlender Berechtigungen in SAP NetWeaver Guided Procedures (SAP GP).

SAP GP ist Teil des Composite Application Framework (CAF) und ermöglicht die Modellierung und Verwaltung von Workflows. Es bietet rollenbasierten Zugriff auf Tools, Ressourcen und Anleitungen während der Ausführung der Workflows und hilft Endbenutzern dabei, ihre Aufgaben leicht zu identifizieren und zu erledigen. SAP GP ermöglicht den Zugriff auf mehrere Backend-Systeme und bindet verschiedene Arten von Diensten und Anwendungen nahtlos in Prozesse ein. Darüber hinaus unterstützt GP die Zusammenarbeit, Ad-hoc-Aufgaben und die Offline-Aufgabenverwaltung mithilfe interaktiver Formulare.

Die Sicherheitslücke „Missing Authorization“ wurde in der Komponente „Administration Workset“ von SAP GP entdeckt. Sie stellt das zentrale Verwaltungswerkzeug für GP dar und ermöglicht eine Vielzahl von Aktivitäten, wie zum Beispiel:

  • Allgemeine Verwaltungsaufgaben im Zusammenhang mit den GP-Frameworks für die Entwurfszeit, die Laufzeit und den Hintergrund ausführen
  • Transporte verwalten
  • Archivierungs- und Löschaufträge verwalten
  • Formulare konfigurieren
  • Control mit SAP-Systemen

Eine fehlende Berechtigungsprüfung könnte dazu führen, dass Daten unbefugt gelesen, geändert oder gelöscht werden. Glücklicherweise gibt es auch eine Abhilfe, um das Problem zu beheben – deaktivieren Sie einfach die entsprechende Anwendung im SAP NetWeaver Administrator, wenn sie nicht benötigt wird.  

Der zweite Hinweis mit hoher Priorität, der SAP-Sicherheitshinweis Nr. 3056652, ist mit einem CVSS-Wert von 7,5 versehen. Seine Veröffentlichung ist das Ergebnis der kontinuierlichen Zusammenarbeit zwischen Onapsis Research Labs SAP. Vor einigen Wochen stellte das Onapsis-Team fest, dass ein SAP NetWeaver AS for Java beim Speichern von Überwachungsdaten keine ordnungsgemäße Validierung von HTTP-Anfragen durchführt. Dies könnte es einem Angreifer ermöglichen, HTTP-Anfragen zu manipulieren, was zu einer Erschöpfung der Systemressourcen führen und die Verfügbarkeit des Systems direkt beeinträchtigen könnte. Die Ausnutzung dieser Schwachstelle ist relativ einfach, da die Komplexität des Angriffs gering ist und für die Durchführung des Angriffs weder Berechtigungen noch Benutzerinteraktion erforderlich sind.

 

Ein weiterer Beitrag von Onapsis Research Labs

Onapsis Research Labs SAP dabei Onapsis Research Labs , eine Sicherheitslücke im SAP Enterprise Portal zu beheben, die zur Offenlegung von Informationen führen kann. Die Korrektur wird mit dem SAP-Sicherheitshinweis Nr. 3059764 bereitgestellt, der mit einem CVSS-Wert von 4,5 versehen ist. Ein HTTP-Endpunkt des Portals legt sensible Informationen offen, die von einem Angreifer mit Administratorrechten in Verbindung mit anderen Angriffen (z. B. XSS) ausgenutzt werden könnten. Da diese Angriffe eine Vielzahl möglicher Auswirkungen haben können, empfiehlt Onapsis, den bereitgestellten Patch so schnell wie möglich zu installieren, ungeachtet des relativ niedrigen CVSS-Werts.

 

Zusammenfassung und Schlussfolgerungen

Da es nur zwei aktualisierte HotNews-Hinweise und zwei neue Hinweise mit hoher Priorität gibt, kann der Patch Day von SAP im Juli als relativ ereignislos angesehen werden. Eine Erkenntnis aus dem SAP-Sicherheitshinweis Nr. 3059764 lautet: Der CVSS-Wert eines Hinweises berücksichtigt nicht unbedingt das Worst-Case-Szenario. Die zugewiesene numerische Schweregradstufe berücksichtigt nicht die Auswirkungen nachfolgender Angriffe, die auftreten könnten, oder Angriffe, die durch Ausnutzung der gegebenen Schwachstelle eine größere Angriffsfläche erhalten könnten. 

Juli-Patch

Wie immer Onapsis Research Labs bereits Onapsis Research Labs , die Platform aktualisieren Platform die neu veröffentlichten Sicherheitslücken in das Produkt Platform integrieren, damit unsere Kunden ihre Unternehmen schützen können.

Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest Onapsis“-Newsletter.

Stichworte
Über den Autor

Thomas Fritsch

Als führender SAP-Sicherheitsforscher bei Onapsis gilt Thomas Fritsch als anerkannte Autorität in den Bereichen vulnerability management und neue Bedrohungen. Aufgrund seiner langjährigen Erfahrung als SAP-Experte konzentriert er sich auf hochtechnische Bereiche wie die Konfiguration von SAP-Systemen und das Transportmanagement. Thomas’ Analysen der neuesten SAP-Sicherheitspatches und -Schwachstellen sind ein zentraler Bestandteil der Forschungsarbeit, die Unternehmen die fundierten und umsetzbaren Erkenntnisse liefert, die sie zum Schutz ihrer Systeme benötigen. Seine Rolle als angesehener Redner und Autor festigt seinen Ruf als maßgebliche Stimme im Bereich der SAP-Cybersicherheit und trägt dazu bei, die Lücke zwischen komplexer Forschung und praktischen Sicherheitsmaßnahmen in der realen Welt zu schließen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen