SAP Security Patch Day März 2022: SAP Focused Run von mehreren Sicherheitslücken betroffen

Von:

8. März 2022

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom März gehören:

  • Zusammenfassung März – 17 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter vier HotNews -Hinweise und ein Hinweis mit hoher Priorität 
  • Kritischster Patch für SAP Focused Run – CVSS 9.3-Sicherheitslücke, die zu einer vollständigen Kompromittierung der betroffenen Systeme führen kann
  • Onapsis Research Labs – Onapsis Research Labs zur Behebung von vier neuen Sicherheitslücken Onapsis Research Labs

Zeit zum Durchatmen… Nach den Schockwellen, die mit Log4j und ICMAD durch die SAP-Community gingen, verläuft der SAP-Patch-Tuesday im März etwas ruhiger. 

SAP hat an seinem Patch Day im März 17 neue und aktualisierte Sicherheitshinweise veröffentlicht (einschließlich der Hinweise, die seit dem letzten Patch Tuesday veröffentlicht oder aktualisiert wurden). Darunter befinden sich vier HotNews-Hinweise und ein Hinweis mit hoher Priorität

Einer der vier HotNews-Hinweise ist eine Aktualisierung des kritischen ICMAD-Hinweises Nr. 3123396, der ursprünglich am Patch Day im Februar veröffentlicht wurde. Er enthält einige zusätzliche Informationen, darunter einen Verweis auf den Knowledge-Base-Artikel Nr . 3148968, der häufig gestellte Fragen zum Patch enthält.

Die HotNews -Notizen im Detail

Der SAP-Sicherheitshinweis Nr. 3154684, der mit einem CVSS-Wert von 10,0 versehen ist, ist ein weiterer Log4j-Patch. Er betrifft die Anwendungen SAP Work Manager und SAP Inventory. Beide Anwendungen laufen auf Platform SAP Mobile Platform SMP), wobei nur lokale Installationen der SMP betroffen sind. Der Hinweis empfiehlt ein Upgrade auf SAP Work Manager 6.6.1 und/oder SAP Inventory Manager 4.4.1, da diese Anwendungsversionen mit den neuen Versionen der log4j-Bibliothek erstellt wurden. Als Workaround kann ein direkter Austausch der anfälligen log4j-Bibliothek auf dem SMP-Server durchgeführt werden. Da SAP Work Manager-Versionen vor 6.4 keine log4j-Bibliotheken verwenden, sind sie von den Log4j-Schwachstellen nicht betroffen.

Der HotNews- Hinweis Nr. 3131047 ist der zentrale SAP-Sicherheitshinweis zur Log4j-Sicherheitslücke und wurde mit Informationen zum neuen Hinweis Nr. 3154684 aktualisiert.

Das zentrale SAP-Dokument zu Log4j wurde zuletzt am 7. März aktualisiert. Für folgende Bereiche stehen noch Log4j-Patches aus:

  • Kundenanwendungen in der BTP Cloud -Umgebung
  • SAP Commerce Cloud in Cloud Public Cloud)
  • SAP Commerce Cloud in SAP Infrastructure V1.0 und V1.2)
  • SAP Commerce (On-Premise)
  • SAP Contact Center 7.0

Die gute Nachricht ist, dass es für alle diese Anwendungen Abhilfemaßnahmen gibt.

Der SAP-Sicherheitshinweis Nr. 3145987, der mit einem CVSS-Wert von 9,3 bewertet wurde, behebt eine Sicherheitslücke aufgrund fehlender Authentifizierung im SAP Simple Diagnostics Agent. Dieser Agent wird als Add-on zum SAP Host Agent installiert und bereitgestellt und ist eine Voraussetzung für die Nutzung der Simple System Integration (SSI) in SAP Focused Run. 

Die Onapsis Research Labs haben die kritische Sicherheitslücke entdeckt, die es einem Angreifer ermöglicht, auf administrative oder andere privilegierte Funktionen zuzugreifen und sensible Informationen und Konfigurationen zu lesen, zu ändern oder zu löschen. Das Einzige, was verhindert, dass ihr ein CVSS-Score von 10 zugewiesen wird, ist die Tatsache, dass für einen erfolgreichen Angriff lokaler Zugriff auf das Betriebssystem des SAP Focused Run-Systems – oder auf eines der verwalteten Systeme – erforderlich ist. Ein erfolgreicher Angriff kann jedoch zu einer vollständigen Kompromittierung des betroffenen Systems führen. 

Um die Sicherheitslücke zu schließen, müssen SAP-Kunden sowohl den SAP Simple Diagnostics Agent als auch den SAP Host Agent aktualisieren.

Weitere SAP-Sicherheitshinweise, die in Zusammenarbeit mit den Onapsis Research Labs veröffentlicht wurden

Die Onapsis Research Labs maßgeblich zu diesem SAP Patch Tuesday Onapsis Research Labs . Neben der Unterstützung von SAP bei der Behebung der in der HotNews-Meldung Nr . 3145987 beschriebenen Sicherheitslücke „Missing Authentication“ wurde SAP auch bei der Behebung von drei weiteren Sicherheitslücken unterstützt, von denen eine als „High Priority“ eingestuft wurde .

Der SAP-Sicherheitshinweis Nr. 3149805, der mit einem CVSS-Wert von 8,2 versehen ist, behebt eine Cross-Site-Scripting-Sicherheitslücke (XSS) im SAP Fiori Launchpad. Unser Forschungsteam hat festgestellt, dass das SAP Fiori Launchpad es einem nicht authentifizierten Angreifer ermöglicht, den URL-Parameter „sap-theme“ zu manipulieren – und HTML-Code einzuschleusen – sowie über das Netzwerk einen Link zu erstellen, auf den ein Benutzer klicken kann. Sobald der Link angeklickt wird, ermöglicht eine erfolgreiche Ausnutzung dem Angreifer, Benutzerrechte zu übernehmen, die zum Abgreifen von Daten und zum Ausführen eines CSRF-Angriffs zur Manipulation von Daten genutzt werden können. Dies kann die Vertraulichkeit der Anwendung beeinträchtigen, Risiken für ihre Integrität mit sich bringen und die Wahrscheinlichkeit erhöhen, dass sie vollständig kompromittiert wird. 

Da SAP Focused Run im Mittelpunkt der aktuellen Untersuchung stand, unterstützten die Onapsis Research Labs SAP Onapsis Research Labs bei der Behebung zweier weiterer Sicherheitslücken in dieser Anwendung:

Der SAP-Sicherheitshinweis Nr. 3147283, der mit einem CVSS-Wert von 5,4 bewertet wurde, behebt eine Cross-Site-Scripting-Sicherheitslücke (XSS) in der Anwendung „Real User Monitoring“ von SAP Focused Run. Eine unzureichende Eingabevalidierung im SAP Focused Run REST kann zu einem Angriff aus der Ferne führen, wobei die Auswirkungen auf die Vertraulichkeit und Integrität des Systems jedoch begrenzt sind.

Der SAP-Sicherheitshinweis Nr. 3147102, der mit einem CVSS-Wert von 5,3 bewertet wurde, behebt eine weitere Sicherheitslücke im SAP Diagnostics Agent. Ein erfolgreicher Angriff ermöglicht es einem Angreifer, Informationen zu sammeln, die dazu genutzt werden können, um in Zukunft Sicherheitslücken in Open-Source-Software auszunutzen.

Zusammenfassung und Schlussfolgerung

Mit 17 neuen und aktualisierten Sicherheitshinweisen, darunter vier HotNews-Hinweise (von denen zwei neu sind) und ein Hinweis mit hoher Priorität, ist dies für SAP-Kunden endlich ein ruhigerer Patch-Tag. 14 der 17 behobenen Sicherheitslücken wurden von externen Mitwirkenden gemeldet, davon 5 von den Onapsis Research Labs. Dies verdeutlicht die Bedeutung externer Forscher wie Onapsis Research Labs für das SAP-Ökosystem. Als bedeutender Anbieter von Softwarelösungen zum Schutz geschäftskritischer Anwendungen investiert Onapsis weiterhin in seine Forschung und analysiert sowie untersucht proaktiv Entwicklungen bei geschäftskritischen Anwendungen, um Sicherheitserkenntnisse und threat intelligence bereitzustellen.

ORL

Onapsis Research Labs aktualisiert die Platform Onapsis Research Labs mit den neuesten threat intelligence Sicherheitsempfehlungen, damit unsere Kunden den sich ständig weiterentwickelnden Bedrohungen immer einen Schritt voraus sind und ihre Unternehmen schützen können.

Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest“-Newsletter.

Stichwörter, , , ,
Über den Autor

Thomas Fritsch

Als führender SAP-Sicherheitsforscher bei Onapsis gilt Thomas Fritsch als anerkannte Autorität in den Bereichen vulnerability management und neue Bedrohungen. Aufgrund seiner langjährigen Erfahrung als SAP-Experte konzentriert er sich auf hochtechnische Bereiche wie die Konfiguration von SAP-Systemen und das Transportmanagement. Thomas’ Analysen der neuesten SAP-Sicherheitspatches und -Schwachstellen sind ein zentraler Bestandteil der Forschungsarbeit, die Unternehmen die fundierten und umsetzbaren Erkenntnisse liefert, die sie zum Schutz ihrer Systeme benötigen. Seine Rolle als angesehener Redner und Autor festigt seinen Ruf als maßgebliche Stimme im Bereich der SAP-Cybersicherheit und trägt dazu bei, die Lücke zwischen komplexer Forschung und praktischen Sicherheitsmaßnahmen in der realen Welt zu schließen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen