Wichtige Patches für IS-OIL, Solution Manager, Web Dispatcher und ICM

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Juli gehören:

• Zusammenfassung für Juli – Es wurden 18 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter zwei „HotNews“-Hinweise und sieben Hinweise mit hoher Priorität. 
• Aktuelles zu IS-OIL – Sicherheitslücke bei der OS-Befehlsinjektion ermöglicht vollständige Systemübernahme
• Onapsis Research Labs – Onapsis Research Labs zur Behebung von acht Sicherheitslücken Onapsis Research Labs , die in sieben SAP-Sicherheitshinweisen behandelt wurden. Darunter befinden sich eine „HotNews“-Sicherheitslücke in IS-OIL sowie vier Sicherheitshinweise mit hoher Priorität, die SAP SolutionManager, SAP Web Dispatcher und SAP ICM betreffen.

SAP hat an seinem Patch Day im Juli achtzehn neue und aktualisierte Sicherheitshinweise veröffentlicht (einschließlich der Hinweise, die seit dem letzten Patch Tuesday veröffentlicht oder aktualisiert wurden). Darunter befinden sich zwei HotNews-Hinweise und sieben Hinweise mit hoher Priorität. 

Einer der beiden HotNews-Hinweise ist der regelmäßig erscheinende SAP-Sicherheitshinweis Nr. 2622660, der ein Update für den SAP Business Client enthält, einschließlich der neuesten unterstützten Chromium-Patches. Der SAP Business Client unterstützt nun Chromium-Version 114.0.5735.134, die insgesamt 56 Sicherheitslücken behebt, darunter zwei mit kritischer und 35 mit hoher Priorität. Der maximale CVSS-Wert aller behobenen Sicherheitslücken beträgt 9,6.

Einer der sieben HotNews-Hinweise, der SAP-Sicherheitshinweis Nr . 3324285, enthält im Abschnitt „Lösung“ lediglich eine geringfügige Textänderung.

Die neuen HotNews -Notizen im Detail

Die Onapsis Research Labs ORL) haben zur Behebung einer kritischen HotNews-Sicherheitslücke in SAP IS-OIL beigetragen. Der SAP-Sicherheitshinweis Nr. 3350297, der mit einem CVSS-Score von 9,1 bewertet wurde, ermöglicht es einem authentifizierten Angreifer, einen beliebigen Betriebssystembefehl in einen ungeschützten Parameter einer anfälligen Transaktion und eines anfälligen Programms einzuschleusen. Der enthaltene Funktionsbaustein, der den Parameterwert verarbeitet, wird mit dem SAP-Hinweis gepatcht und enthält eine entsprechende Eingabevalidierung. Das Patchen wird dringend empfohlen, da eine erfolgreiche Ausnutzung dieser Schwachstelle erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des betroffenen SAP-Systems hat.

SAP-Sicherheitshinweise mit hoher Priorität

Neben dem einzigen neuen HotNews-Hinweis hat das ORL auch zur Behebung von vier der sieben Hinweise mit hoher Priorität beigetragen. Obwohl diese Hinweise einen niedrigeren CVSS-Wert aufweisen als der HotNews-Hinweis Nr. 3350297, können sie als kritischer eingestuft werden, da sie fast alle SAP-Kunden betreffen.

Die SAP-Sicherheitshinweise Nr. 3233899(mit einem CVSS-Wert von 8,6) und Nr . 3340735(mit einem CVSS-Wert von 7,7) beheben Sicherheitslücken in SAP ICM und SAP Web Dispatcher.

Die Art von Angriffen und Exploits, die mit dem Hinweis Nr . 3233899 in Zusammenhang stehen, gehören zur „Familie der HTTP-Request-Desynchronisationsangriffe“. Eine Technik dieser Familie wird als „Response Smuggling“ bezeichnet und wurde 2021 von Onapsis auf der DEFCON29-Konferenz vorgestellt. Anfang 2022 entdeckte das ORL die ersten Schwachstellen in SAP ICM, bekannt als ICMAD, die mithilfe von Response-Smuggling-Techniken ausgenutzt werden konnten, und unterstützte SAP bei deren Behebung. 

Die in diesem Hinweis beschriebene, neu entdeckte Sicherheitslücke ermöglicht zwei Angriffsszenarien. In beiden Szenarien kann ein nicht authentifizierter Angreifer über ein Netzwerk eine böswillig gestaltete Anfrage an einen Frontend-Server senden. Diese Aktion kann nach mehreren Versuchen dazu führen, dass ein Backend-Server die Grenzen zwischen böswilligen und legitimen Nachrichten nicht mehr klar erkennen kann, was zur Ausführung böswilliger Payloads führt. Während das eine Szenario lediglich die Verfügbarkeit des Systems beeinträchtigt, wirkt sich das zweite auch auf dessen Vertraulichkeit aus.

Der SAP-Sicherheitshinweis Nr. 3340735, der mit einem CVSS-Wert von 7,7 bewertet wurde, behebt eine Sicherheitslücke durch Speicherbeschädigung in SAP ICM und SAP Web Dispatcher. Die Sicherheitslücke kann von einem nicht authentifizierten Angreifer durch logische Fehler in der Speicherverwaltung ausgenutzt werden. Werden SAP ICM und/oder SAP Web Dispatcher nicht gepatcht, kann dies zu geringen Auswirkungen auf die Vertraulichkeit sowie zu erheblichen Auswirkungen auf die Integrität und Verfügbarkeit des Systems führen.

Wichtiger Hinweis: Die SAP-Sicherheitshinweise Nr. 3233899 und Nr . 3340735 betreffen ausschließlich das HTTP/2-Protokoll. HTTP/1 ist davon nicht betroffen. Die folgende Tabelle enthält Informationen zur HTTP/2-Unterstützung in den verschiedenen Szenarien sowie zu den Standardeinstellungen: 

Das ICM in SAP NW AS ABAP ist NICHT betroffen, wenn vor dem System ein gepatchter SAP Web Dispatcher installiert ist und der gesamte Datenverkehr über diesen SAP Web Dispatcher geleitet wird. Darüber hinaus ist ICM in SAP NW AS ABAP nur dann für #3233899 anfällig, wenn sich vor dem System ein Reverse-Proxy oder Load Balancer eines Drittanbieters befindet, der das HTTP/2-Protokoll unterstützt. Es ist NICHT betroffen, wenn es hinter einem einfachen TCP-Load-Balancer betrieben wird.

The default can be overwritten by explicitly setting parameter icm/HTTP/support_http2 to TRUE or FALSE in the instance or default profile (scenario 1, 2), in webdispatcher.ini (scenario 4) or /hana/shared/<SID>/xs/controller_data/controller/router/webdispatcher/conf/sapwebdisp.template (scenario 5).

Die SAP-Sicherheitshinweise Nr. 3348145 und Nr . 3352058, die beide mit einem CVSS-Score von 7,2 bewertet sind, betreffen den SAP Solution Manager (Diagnostics Agent). Beide Sicherheitslücken wurden in Zusammenarbeit mit unserem ORL-Team behoben. Der SAP-Sicherheitshinweis #3348145 behebt eine Schwachstelle, die es einem Angreifer ermöglicht, die Header von Client-Anfragen zu manipulieren. Dies führt dazu, dass der SAP Diagnostics Agent manipulierte Inhalte an den Server übermittelt, was begrenzte Auswirkungen auf die Vertraulichkeit und Verfügbarkeit der Anwendung hat.

Der SAP-Sicherheitshinweis Nr. 3352058 behebt eine Sicherheitslücke im Diagnostics-Agent, die eine nicht authentifizierte blinde SSRF-Angriffsmöglichkeit ermöglicht. Die Sicherheitslücke ermöglicht es einem nicht authentifizierten Angreifer, HTTP-Anfragen blind auszuführen. Im Gegensatz zu #3348145 kann eine erfolgreiche Ausnutzung dieser Sicherheitslücke auch begrenzte Auswirkungen auf andere Anwendungen haben, auf die der Diagnostics-Agent Zugriff hat.

Der Hinweis mit hoher Priorität Nr . 3331376, der mit einem CVSS-Wert von 8,7 gekennzeichnet ist, behebt eine Directory-Traversal-Sicherheitslücke in SAP NetWeaver (BI CONT ADD ON). Der Patch deaktiviert einen Bericht, der keine angemessenen Berechtigungsprüfungen und Eingabevalidierungen für die übergebenen Parameter durchführte. Ohne diesen Patch kann ein Angreifer Systemverzeichnisse durchlaufen und bestimmte Betriebssystemdateien überschreiben, was zu einer Kompromittierung des Systems führen kann. Eine einfache Abhilfe besteht darin, den anfälligen Bericht zu löschen. Der betroffene Bericht kann anhand der Korrekturanweisungen in der Note abgerufen werden.

Der SAP-Sicherheitshinweis Nr. 3331029, der mit einem CVSS-Wert von 7,8 bewertet wurde, betrifft SAP SQL Anywhere. Der Hinweis behebt eine Denial-of-Service-Sicherheitslücke, die es einem Angreifer mit geringen Berechtigungen und lokalem Systemzugriff ermöglicht, in Shared-Memory-Objekte zu schreiben. Auf diese Weise kann er sensible Daten im betroffenen Shared-Memory-Objekt überschreiben oder legitime Benutzer am Zugriff auf den Dienst hindern.
 

Weitere Beiträge der Onapsis Research Labs 

Die Onapsis Research Labs zur Behebung einer Log-Injection-Sicherheitslücke in SAP NetWeaver AS Java Onapsis Research Labs . Ein nicht authentifizierter Angreifer könnte mithilfe manipulierter Anfragen ein Systemprotokoll verändern, wobei die Integrität des Systems nur geringfügig beeinträchtigt würde. Der entsprechende Patch ist in der SAP-Sicherheitsmitteilung Nr . 3324732 enthalten, die mit einem CVSS-Wert von 5,3 versehen ist.

Das ORL hat eine weitere Log-Injection-Sicherheitslücke in einem remote-fähigen Funktionsbaustein von SAP ERP Defense Forces and Public Security entdeckt. Diese ermöglicht es einem authentifizierten Angreifer mit Administratorrechten, den Inhalt der Syslog-Daten zu verändern und die Integrität der Anwendung vollständig zu untergraben. Der SAP-Sicherheitshinweis Nr. 3351410, der mit einem CVSS-Score von 4,9 bewertet wurde, behebt die Sicherheitslücke durch Deaktivierung des Quellcodes des betroffenen Funktionsbausteins.

Zusammenfassung und Schlussfolgerung

Mit achtzehn neuen und aktualisierten SAP-Sicherheitshinweisen, darunter zwei „HotNews“-Hinweise und sieben Hinweise mit hoher Priorität, entspricht der SAP-Patch-Day im Juli einem durchschnittlichen Patch-Day. Die Onapsis Research Labs erneut einen wesentlichen Beitrag dazu Onapsis Research Labs , das SAP-Universum ein wenig sicherer zu machen. Die kontinuierliche Forschungsarbeit unseres Teams führte zu einem „HotNews“-Hinweis, vier Hinweisen mit hoher Priorität und zwei Hinweisen mit mittlerer Priorität. 

Onapsis Research Labs aktualisiert die Platform Onapsis Research Labs mit den neuesten threat intelligence Sicherheitsempfehlungen, damit unsere Kunden den sich ständig weiterentwickelnden Bedrohungen immer einen Schritt voraus sind und ihre Unternehmen schützen können.

Weitere Informationen zu den neuesten SAP-Sicherheitsproblemen und unseren kontinuierlichen Bemühungen, Wissen mit der Sicherheits-Community zu teilen, finden Sie in unseren früheren Patch-Day-Blogbeiträgen. Abonnieren Sie außerdem unseren monatlichen „Defenders Digest“-Newsletter.