SAP-Sicherheitspatch-Tag Mai 2022: Die Spring4Shell-Sicherheitslücke wurde in sechs SAP-Anwendungen behoben

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Mai gehören:

• Zusammenfassung für Mai – 17 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter vier „HotNews“-Meldungen und zwei Meldungen mit hoher Priorität
• Auswirkungen von Spring4Shell auf SAP – Insgesamt wurden nun sechs SAP-Anwendungen gepatcht 
• Beitrag von Onapsis –Onapsis Research Labs SAP bei der Behebung von vier Sicherheitslücken, darunter eine mit hoher Priorität

SAP hat im Rahmen seines Patch-Releases vom Mai 2022 17 neue und aktualisierte SAP-Sicherheitshinweise veröffentlicht, darunter auch die Hinweise, die seit dem letzten Patch-Tag erschienen sind. Im Rahmen des diesjährigen Patch-Releases gibt es vier „HotNews“-Hinweise und zwei Hinweise mit hoher Priorität.

Aktuelles zu Spring4Shell

Alle seit dem letzten Patch-Tag veröffentlichten HotNews-Meldungen enthalten Patches für die kritische Sicherheitslücke im Spring Framework , die im März 2022 entdeckt wurde und als „Spring4Shell“-Sicherheitslücke bekannt ist. Die HotNews-Meldung „Spring4Shell Summary“ ( Nr. 3170990 ) wurde aktualisiert und umfasst derzeit die folgenden betroffenen SAP-Anwendungen:

Im Gegensatz zur Zusammenfassung zur Log4J-Sicherheitslücke werden in der Zusammenfassung zu Spring4Shell keine SAP-Anwendungen aufgeführt, die derzeit analysiert werden oder für die ein Patch in Arbeit ist.

Beitrag von Onapsis zum aktuellen Patch-Tag

Die Onapsis Research Labs hat diesmal zur Behebung von vier Sicherheitslücken beigetragen, von denen eine als „High Priority“ eingestuft wurde:

Der SAP-Sicherheitshinweis Nr. 3145046, der mit einem CVSS-Wert von 8,3 bewertet wurde, behebt eine Cross-Site-Scripting-Sicherheitslücke in der Administrationsoberfläche von ICM im SAP Application Server ABAP/Java sowie in der Administrationsoberfläche für den SAP Web Dispatcher (als eigenständige Instanz und als in (A)SCS eingebettete Instanz). SAP und die Onapsis Research Labs ORL) stellten fest, dass die Ausnutzung der Schwachstelle erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit eines Systems hat. Der einzige Grund, warum diese Schwachstelle nicht mit einem höheren CVSS-Wert bewertet wurde, ist die Tatsache, dass ein Angreifer das Opfer dazu verleiten muss, sich über einen Browser bei der Verwaltungs-Benutzeroberfläche anzumelden, und dass der Angriff sehr komplex ist.

Der SAP-Hinweis enthält Patches für alle betroffenen Komponenten sowie drei Optionen für eine vorübergehende Abhilfe, die wie folgt lauten:

• Option 1: Löschen Sie die betroffenen Dateien
• Option 2: Die Administrationsoberfläche deaktivieren
• Option 3: Entziehen Sie allen potenziell betroffenen Benutzern die Berechtigungen für die Anmeldung an der Administrationsoberfläche.

Während bei Option 1 nach der Installation des Patches keine weiteren Maßnahmen erforderlich sind, müssen die Umgehungslösungen der Optionen 2 und 3 nach der Installation rückgängig gemacht werden.

Der SAP-Sicherheitshinweis Nr. 3146336, der mit einem CVSS-Wert von 5,4 versehen ist, beschreibt eine Cross-Site-Scripting-Sicherheitslücke im SAP NetWeaver Application Server ABAP. Das ORL hat festgestellt, dass diese Sicherheitslücke es einem authentifizierten Angreifer ermöglicht, schädliche Dateien hochzuladen und Themendaten zu löschen. Der bereitgestellte Patch deaktiviert die Möglichkeit, einzelne Dateien über den SAP UI Theme Designer hochzuladen.

Der SAP-Sicherheitshinweis Nr. 3145702, der mit einem CVSS-Wert von 5,3 versehen ist, behebt eine Speicherbeschädigungsschwachstelle im SAP Host Agent, in SAP NetWeaver AS ABAP und in Platform. Die Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer, logische Fehler in der Speicherverwaltung auszunutzen, um eine Speicherbeschädigung zu verursachen, die die Verfügbarkeit der Dienste beeinträchtigt. Der Sicherheitshinweis enthält Patches für die betroffenen Kernel-Versionen sowie für den SAP Host Agent.

Letzterer enthält zudem einen Patch für eine weitere Schwachstelle im SAP Host Agent, die vom ORL entdeckt wurde. Der SAP-Sicherheitshinweis Nr . 3158188, der mit einem CVSS-Wert von 5,3 versehen ist, beschreibt eine Schwachstelle, die zur Offenlegung von Informationen in der Protokolldatei des SAP Host Agent führt. Die Protokolldatei legt sensible Informationen offen, die für kritische Folgeangriffe genutzt werden könnten. Da der in SAP-Sicherheitshinweis Nr. 3145702 angegebene Patch-Level für den SAP Host Agent höher ist als der in SAP-Sicherheitshinweis Nr. 3158188 angegebene, wird Letzterer automatisch gepatcht, wenn Sicherheitshinweis Nr. 3145702 angewendet wird.

Weitere wichtige SAP-Sicherheitshinweise im Mai

Zusätzlich zum SAP-Sicherheitshinweis Nr. 3145046 wurde am SAP-Patch-Day im Mai ein weiterer Hinweis mit hoher Priorität veröffentlicht: der SAP-Sicherheitshinweis Nr. 2998510 mit einem CVSS-Wert von 7,8. Dieser Hinweis behebt ein Problem, das bei einem Upgrade von SAP BusinessObjects Enterprise auftritt. Das Upgrade legt Informationen in den Sysmon-Ereignisprotokollen offen, die für Folgeangriffe genutzt werden könnten, die erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Systeme haben.

Zusammenfassung und Schlussfolgerungen

In diesem Monat konzentrierte sich SAP darauf, seine Anwendungen hinsichtlich der Spring4Shell-Sicherheitslücke zu patchen. Die Onapsis Research Labs zur Behebung von vier Sicherheitslücken Onapsis Research Labs , von denen eine als „High Priority“ eingestuft wurde.

Wie immer Onapsis Research Labs die Platform kontinuierlich, um neu bekannt gewordene Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.

Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest Onapsis“-Newsletter.