SAP-Sicherheitspatch-Tag Juni 2021: Mehrere Sicherheitslücken durch Speicherbeschädigungen können zu Systemabstürzen führen

Von:

8. Juni 2021

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Juni gehören:

  • Zusammenfassung für Juni –20 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter zwei „HotNews“-Hinweise und vier Hinweise mit hoher Priorität
  • Der höchste CVSS-Wert der neuen Sicherheitshinweise liegt bei 9,0 –Eine Schwachstelle im Zusammenhang mit einer fehlerhaften Authentifizierung in SAP NetWeaver AS ABAP und Platform dazu genutzt werden, den Schutz gegen externe Aufrufe zu umgehen
  • Onapsis Research Labs –20 Sicherheitslücken entdeckt, behoben durch sechs SAP-Sicherheitshinweise

SAP hat an seinem Patch Day im Juni 20 neue und aktualisierte Sicherheitshinweise veröffentlicht. Darunter befinden sich zwei „HotNews“-Hinweise und vier Hinweise mit hoher Priorität .

Glücklicherweise handelt es sich bei einem der beiden HotNews-Hinweise lediglich um eine geringfügige Aktualisierung des SAP-Sicherheitshinweises Nr. 3040210, der ursprünglich am SAP-Patch-Day im April veröffentlicht wurde. Der Hinweis behebt eine schwerwiegende Sicherheitslücke in der Rules Engine von SAP Commerce, die die Ausführung von Remote-Code ermöglicht. Die neue Version dieses Hinweises enthält lediglich einen aktualisierten Link zu einem FAQ-Dokument.

Das wirklich Bemerkenswerte an diesem Patch Day ist die Tatsache, dass drei der vier High-Priority-Notes SAP-Kernel-Prozesse betreffen, die seit Beginn der SAP-R/3-Ära bestehen und als das Herzstück einer SAP-NetWeaver-AS-ABAP- und Platform angesehen werden können.

Die kritischste Sicherheitslücke in SAP NetWeaver AS ABAP und Platform ABAP Platform

SAP hat eine schwerwiegende Sicherheitslücke im Zusammenhang mit einer fehlerhaften Authentifizierung behoben. Ein ABAP-Server konnte nicht zu 100 % korrekt feststellen, ob die Kommunikation über RFC oder HTTP zwischen den Anwendungsservern desselben SAP-Systems oder mit Servern außerhalb desselben Systems stattfand.

Dadurch war es einem böswilligen Benutzer möglich, gestohlene Anmeldedaten aus der internen Kommunikation zwischen zwei Servern desselben Systems für externe RFC- oder HTTP-Aufrufe zu missbrauchen. Die Anmeldedaten konnten dazu verwendet werden, eine eigene Verbindung zwischen einem böswilligen externen Programm und dem betroffenen SAP-System herzustellen, wobei das Programm vorgab, ein interner Aufrufer zu sein.

In vielen Fällen müssen Funktionsbausteine RFC-fähig sein, da bestimmte Programmiertechniken, z. B. die Parallelisierung, dieses Attribut erfordern. Eine häufig verwendete Methode, um einen solchen Funktionsbaustein vor externen Aufrufen zu schützen, ist eine explizite Überprüfung der Herkunft des Aufrufs (extern/intern) innerhalb des Funktionsbausteins (ein Beispiel findet sich im letzten Abschnitt des nächsten Kapitels). Wenn diese Überprüfung nicht ordnungsgemäß funktioniert, versagt der vorgesehene Schutz.

Der SAP-Sicherheitshinweis Nr. 3007182, der mit einem CVSS-Wert von 9,0 versehen ist, enthält einen Kernel-Patch und eine ABAP-Korrektur zur Behebung dieses Problems.

Onapsis Research Labs zur Behebung von 20 (!) Sicherheitslücken Onapsis Research Labs

Im Rahmen der Mission von Onapsis, SAP beim Schutz seiner Kunden zu unterstützen, Onapsis Research Labs die Onapsis Research Labs dazu Onapsis Research Labs , am Patch Day im Juni 20 Sicherheitslücken zu schließen. Die Patches werden in sechs SAP-Sicherheitshinweisen behandelt, von denen vier als „hohe Priorität“ eingestuft wurden .

Der SAP-Sicherheitshinweis Nr . 3053066, der mit einem CVSS-Wert von 8,6 versehen ist, behebt eine Sicherheitslücke aufgrund fehlender XML-Validierung in SAP NetWeaver AS Java.

Kommunikationsprofile sind Entitäten, die Richtlinien enthalten, denen die Kommunikation zwischen einem Anbieter- und einem Verbrauchersystem comply muss. Wenn die Richtlinien für ein bestimmtes Anbietersystem bekannt sind, legt ein technischer Administrator im Kommunikationsprofil eine Reihe von Einstellungen fest, darunter Transporteinstellungen, Einstellungen für Web Services Reliable Messaging (WS/RM) und die Authentifizierungsstufe.

SAP NetWeaver Administrator ermöglicht die Übertragung eines solchen Kommunikationsprofils von einem System auf ein anderes durch entsprechende Export- und Importfunktionen. Onapsis Research Labs festgestellt, dass der Importvorgang den Inhalt der importierten XML-Datei nicht ausreichend validiert. Diese fehlende Validierung würde es einem Benutzer, der über ein Netzwerk als Administrator authentifiziert ist, ermöglichen, die Importfunktion zu missbrauchen, indem er eine speziell gestaltete XML-Datei mit bösartigem Inhalt übermittelt. Die Verarbeitung solcher Inhalte durch das System kann die Vertraulichkeit des Systems vollständig gefährden, indem sie es dem Angreifer ermöglicht, beliebige Dateien im Dateisystem zu lesen, oder die Verfügbarkeit des Systems vollständig beeinträchtigen, indem sie einen Systemabsturz verursacht.

Die Onapsis Research Labs haben Onapsis Research Labs eine Reihe von Sicherheitslücken im Zusammenhang mit Speicherbeschädigungen in Kernprozessen einer SAP NetWeaver AS ABAP- und Platform entdeckt.

Die SAP-Sicherheitshinweise Nr. 3021197, Nr. 3020209 und Nr. 3020104, die alle mit einem CVSS-Wert von 7,5 bewertet sind, beheben insgesamt 11 Sicherheitslücken. Diese Sicherheitslücken können zu Speicherbeschädigungen in folgenden Prozessen führen: Arbeitsprozesse, Dispatcher-Prozess, SAP-Gateway-Prozess und Enqueue-Prozess.

Die Sicherheitslücken ermöglichen es einem nicht authentifizierten Angreifer ohne spezifische Kenntnisse des Systems, über ein Netzwerk speziell manipulierte Pakete zu senden, die einen internen Fehler im System auslösen, wodurch der Dienst abstürzt und das System teilweise oder vollständig nicht mehr verfügbar ist.

Ähnliche Schwachstellen wurden von unserem Forschungsteam im SAP Internet Graphics Server (IGS) entdeckt. SAP IGS ist eine weit verbreitete, serverbasierte Engine zur Generierung grafischer und nicht-grafischer Inhalte auf der Grundlage von Daten aus einem SAP-System oder einem externen System. Ein wesentlicher Bestandteil seiner Architektur sind verschiedene Interpreter, die für die semantische Verarbeitung der empfangenen Daten zuständig sind. Der geeignete Interpreter wird von einem Portwatcher ausgewählt und hängt von der Art der angeforderten Informationen ab (z. B. Diagramm, Karte, ZIP-Datei).

Der SAP-Sicherheitshinweis Nr. 3021050, der mit einem CVSS-Wert von 5,9 bewertet wurde, behebt sieben Sicherheitslücken im Portwatcher und in mehreren Interpretern. Der Patch enthält zusätzliche Eingabevalidierungen für eingehende IGS-Anfragen, wodurch verhindert wird, dass ein Angreifer böswillige Anfragen sendet, die einen internen Speicherfehler im System auslösen könnten, der zum Absturz des Systems führt und dieses damit unzugänglich macht.

Der Grund für die im Vergleich zu den zuvor beschriebenen Schwachstellen niedrigere CVSS-Bewertung dieser Schwachstelle liegt darin, dass die Komplexität eines Exploits im SAP-IGS-Szenario als höher eingeschätzt wird.

Zu guter Letzt haben unsere Research Labs (um ehrlich zu sein – der Autor dieses Artikels :)) auch eine Sicherheitslücke aufgrund fehlender Berechtigungen in SAP NetWeaver AS ABAP und Platform entdeckt. Der SAP-Sicherheitshinweis Nr. 3002517, der mit einem CVSS-Score von 6,3 bewertet wurde, behebt einen Mangel an angemessenen Berechtigungsprüfungen in einem RFC-fähigen Funktionsbaustein von SAP Records Management. Ein Angreifer mit geringen Berechtigungen konnte beliebige Berichte über das Netzwerk starten. SAP hat das Problem behoben, indem nur noch systeminterne RFC-Aufrufe des betroffenen Funktionsbausteins (siehe vorheriges Kapitel) zugelassen werden und eine zusätzliche Autorisierungsprüfung für den eingereichten Bericht hinzugefügt wurde.

Zusammenfassung und Schlussfolgerungen

Der Patch Day von SAP im Juni hat gezeigt, dass es leichtsinnig wäre, bei Softwarekomponenten, die bereits seit Jahrzehnten existieren, nicht mit Sicherheitsproblemen zu rechnen. Insbesondere die wichtigsten Kernel-Prozesse werden häufig erweitert und angepasst, um neuen technischen Anforderungen gerecht zu werden, sodass sie nicht allein aufgrund ihres Alters als „absolut sicher“ angesehen werden können. Aber auch bei Komponenten, die nicht so häufig geändert werden, ist ein sicherer Status nicht selbstverständlich. Ein Beispiel dafür ist SAP IGS. Obwohl in den letzten 30 Monaten keine neuen Schwachstellen in SAP IGS gemeldet wurden, Onapsis Research Labs die Onapsis Research Labs gleich zu Beginn ihrer Analyse sieben Probleme.

PATCH-TAG IM JUNI 2021

Wie immer Onapsis Research Labs bereits Onapsis Research Labs , die Platform zu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.

Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest Onapsis“-Newsletter.

Tags,
Über den Autor

Thomas Fritsch

Als führender SAP-Sicherheitsforscher bei Onapsis gilt Thomas Fritsch als anerkannte Autorität in den Bereichen vulnerability management und neue Bedrohungen. Aufgrund seiner langjährigen Erfahrung als SAP-Experte konzentriert er sich auf hochtechnische Bereiche wie die Konfiguration von SAP-Systemen und das Transportmanagement. Thomas’ Analysen der neuesten SAP-Sicherheitspatches und -Schwachstellen sind ein zentraler Bestandteil der Forschungsarbeit, die Unternehmen die fundierten und umsetzbaren Erkenntnisse liefert, die sie zum Schutz ihrer Systeme benötigen. Seine Rolle als angesehener Redner und Autor festigt seinen Ruf als maßgebliche Stimme im Bereich der SAP-Cybersicherheit und trägt dazu bei, die Lücke zwischen komplexer Forschung und praktischen Sicherheitsmaßnahmen in der realen Welt zu schließen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen