SAP-Sicherheitspatch-Tag Juni 2022: Unzureichende Control

Von:

14. Juni 2022

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Juni gehören:

  • Zusammenfassung Juni –17 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter eine HotNews -Meldung und drei Meldungen mit hoher Priorität
  • Beitrag von Onapsis –Onapsis Research Labs SAP bei der Behebung eines Problems mittlerer Priorität
  • Neue CISA-Warnung – Die Cybersecurity and Infrastructure Security Agency (CISA) des US-Heimatschutzministeriums listet drei bekannte Sicherheitslücken auf 

SAP hat im Rahmen seines Patch-Releases vom Juni 2022 17 neue und aktualisierte SAP-Sicherheitshinweise veröffentlicht, darunter auch die Hinweise, die seit dem letzten SAP Patch Day erschienen sind. Das Patch-Release dieses Monats umfasst einen „HotNews“-Hinweis und drei Hinweise mit hoher Priorität.

Der HotNews- Hinweis Nr. 2622660 ist der regelmäßig erscheinende SAP-Sicherheitshinweis für den SAP Business Client, der einen Patch bereitstellt, der die neueste getestete Chromium-Version 101.0.4951.54 enthält. Kunden des SAP Business Client wissen bereits, dass Updates dieses Hinweises stets wichtige Korrekturen enthalten, die umgesetzt werden müssen. Der Hinweis verweist auf 82 Chromium-Korrekturen und gibt für die gepatchten Schwachstellen einen maximalen CVSS-Wert von 10,0 an. Für die letzten beiden aufgeführten Schwachstellen wurde noch kein CVSS-Wert zugewiesen, Google hat jedoch darauf hingewiesen, dass Kunden sich der öffentlich verfügbaren Exploits für einige dieser Schwachstellen bewusst sein sollten.

Der Hinweis mit hoher Priorität Nr. 3158375 meldet eine fehlerhafte Control SAPRouter, die SAP NetWeaver und Platform betrifft und mit einem CVSS-Score von 8,6 Platform . Eine zu freizügige Konfiguration der Routenberechtigungstabelle kann es einem nicht authentifizierten Angreifer ermöglichen, die Schutzmaßnahmen zu umgehen und Verwaltungsbefehle auf den mit dem SAPRouter verbundenen Systemen auszuführen, wodurch die Verfügbarkeit der Systeme gefährdet wird. SAP stellt eine Abhilfe bereit, die darin besteht, die Routenberechtigungstabelle zu härten und die Platzhalter aus Einträgen vom Typ „P“ und „S“ zu entfernen. Dies ist jedoch nur eine vorübergehende Lösung, und SAP empfiehlt, den in der Note bereitgestellten Patch zu installieren.

Ein weiterer Control unzureichender Control in der Meldung mit hoher Priorität Nr. 3147498 beschrieben. In diesem Fall betrifft dies SAP NetWeaver AS Java und weist einen CVSS-Wert von 8,2 auf. Die Verfügbarkeit der Systeme kann beeinträchtigt werden, es gibt jedoch keine Abhilfe; daher sollte der Patch installiert werden, um die Sicherheitslücke zu schließen.

Der dritte Hinweis mit hoher Priorität ( Nr. 3197005), der mit einem CVSS-Wert von 7,8 versehen ist, behebt eine potenzielle Sicherheitslücke im SAP PowerDesigner Proxy, die eine Rechteausweitung ermöglicht.

Schließlich hat der SAP-Sicherheitshinweis Nr . 3202846, der mehrere neue Log4j-Sicherheitslücken behebt, die eine Komponente im SAP NetWeaver Developer Studio betreffen, nur geringe Auswirkungen.

Beitrag von Onapsis zum Patch Day im Juni

Die Onapsis Research Labs haben dieses Mal zur Behebung einer Sicherheitslücke mit mittlerer Priorität beigetragen:

Der SAP-Sicherheitshinweis Nr. 3194674, der mit einem CVSS-Wert von 5,0 bewertet wurde, behebt eine Server-Side-Request-Forgery-Sicherheitslücke im Kernel des SAP Application Server ABAP/Java sowie im SAP Host Agent. SAP und Onapsis Research Labs stellten fest, dass die Ausnutzung der Schwachstelle nur geringe Auswirkungen auf die Vertraulichkeit eines Systems hat. Der Angriff ist von geringer Komplexität und der Angreifer benötigt zur Ausführung nur minimale Berechtigungen. 

Der SAP-Hinweis enthält Patches für alle betroffenen Komponenten, und zwar als vollständiges Update der Komponenten sowie als Hotfix, falls das Update nicht sofort durchgeführt werden kann. Der Patch verhindert die Ausführung der anfälligen sapcontrol-Webfunktionalität.

Neue CISA-Warnung im Juni

Die Onapsis Research Labs Angriffe im Zusammenhang mit drei Sicherheitslücken festgestellt, die von SAP bereits behoben wurden. Infolgedessen hat die Cybersecurity and Infrastructure Security Agency (CISA) des US-Heimatschutzministeriums diese Sicherheitslücken in ihren Katalog bekannter ausgenutzter Sicherheitslücken aufgenommen. SAP hat bereits Patches für alle diese Sicherheitslücken veröffentlicht:

  • SAP-Hinweis Nr . 2101079: Mögliche Änderung/Offenlegung von persistenten Daten in BC-ESI-UDDI
  • SAP-Hinweis Nr . 2256846: Mögliche Offenlegung von Informationen zu Benutzernamen
  • SAP-Hinweis Nr. 3084487: [CVE-2021-38163] Sicherheitslücke durch uneingeschränkten Datei-Upload in SAP NetWeaver (Visual Composer 7.0 RT) 

Es wird dringend empfohlen, Ihre SAP-Systeme zu überwachen und sicherzustellen, dass die drei Sicherheitslücken ordnungsgemäß behoben wurden. Weitere Informationen und Einzelheiten finden Sie in unserem Blogbeitrag.

Zusammenfassung und Schlussfolgerungen

In diesem Monat konzentrierte sich SAP auf die Behebung von Sicherheitslücken im Zusammenhang mit fehlenden Berechtigungsprüfungen und der Ausweitung von Berechtigungen. Die Onapsis Research Labs zur Behebung einer Sicherheitslücke Onapsis Research Labs , die mit mittlerer Priorität eingestuft wurde.

Wie immer Onapsis Research Labs die Platform kontinuierlich, um neu bekannt gewordene Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden den sich ständig weiterentwickelnden Bedrohungen immer einen Schritt voraus sind und ihre Unternehmen schützen können.

Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest Onapsis“-Newsletter.

Stichworte,
Über den Autor
Laura Cabrera

Laura Cabrera

Recherche von Inhalten

Laura Cabrera ist eine versierte Expertin für Cybersicherheit mit umfassender Erfahrung in den Bereichen Sicherheitsforschung und Risikomanagement. Im Laufe ihrer Karriere hat sie sich darauf konzentriert, Schwachstellen in geschäftskritischen Anwendungen aufzudecken und Unternehmen dabei zu unterstützen, ihre Cybersicherheitsmaßnahmen zu stärken. Lauras Fachwissen erstreckt sich über verschiedene Bereiche der Informationssicherheit, wobei sie sich besonders bei der Entwicklung von Lösungen auszeichnet, die die Widerstandsfähigkeit von Unternehmen stärken. Dank ihrer analytischen Fähigkeiten und ihrer Leidenschaft für den Schutz von Unternehmenssystemen leistet sie einen wesentlichen Beitrag zu Fortschritten im Bereich der Cybersicherheit.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen