SAP Security Patch Day November 2021: Kritischer Patch für Platform

Von:

9. November 2021

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom November gehören:

  • Zusammenfassung für November – 11 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter eine HotNews-Meldung und drei Meldungen mit hoher Priorität
  • Ein ruhiger Patch-Tag – Nur acht neue Sicherheitshinweise seit dem Patch Day im Oktober
  • Im Fokus: ABAP Platform – Fehlende Berechtigungsprüfung kann zu einer Ausweitung von Berechtigungen führen 

SAP hat im Rahmen seines Patch-Releases vom November 2021 elf neue und aktualisierte SAP-Sicherheitshinweise veröffentlicht, darunter auch die Hinweise, die seit dem letzten Patch Day erschienen sind. Im Rahmen des diesjährigen Patch-Releases gibt es einen „HotNews“-Hinweis und drei Hinweise mit hoher Priorität. 

Einer der Hinweise mit hoher Priorität, der SAP-Sicherheitshinweis Nr. 2971638, ist eine Aktualisierung zu einer Sicherheitslücke in CA Introscope Enterprise Manager, die im Jahr 2020 von den Onapsis Research Labs entdeckt wurde. Durch fest codierte Standardpasswörter für die Benutzer „Admin“ und „Guest“ konnte ein Angreifer aus der Ferne die Authentifizierung umgehen und so die Vertraulichkeit des Dienstes gefährden. (Weitere Einzelheiten finden Sie in unserer Analyse zum Patch Day im Oktober 2020.) Der Hinweis wurde von SAP um zusätzliche manuelle Anweisungen für Kunden ergänzt, die noch Introscope 10.5 oder Versionen älter als 10.7.0.307 verwenden.

Wichtige SAP-Sicherheitshinweise im November

Die einzige HotNews-Meldung zum SAP-Patch-Day im November ist der SAP-Sicherheitshinweis Nr. 3099776 mit einem CVSS-Wert von 9,6. Der Hinweis behebt eine Sicherheitslücke im Platform , die auf eine fehlende Berechtigungsprüfung zurückzuführen ist und zu einer Rechteausweitung für einen authentifizierten Geschäftsanwender führen kann. Die Schwachstelle betrifft vertrauenswürdige Verbindungen zu anderen Systemen über RFC- und HTTP-Kommunikation und ermöglicht es dem Benutzer, anwendungsspezifische Logik in anderen Systemen auszuführen. SAP stufte den CVSS-Vektor der Schwachstelle optimistisch als geringe Auswirkung auf die Verfügbarkeit ein, obwohl ein Geschäftsanwender „… Daten lesen und ändern kann …“. Aufgrund der Kritikalität und der Auswirkungen auf Systeme außerhalb des anfälligen Systems empfehlen wir dringend, den entsprechenden Kernel-Patch zu installieren.
 
Der Hinweismit hoher Priorität Nr. 3110328 ist mit einem CVSS-Score von 8,3 gekennzeichnet und behebt ebenfalls eine Schwachstelle durch fehlende Autorisierungsprüfung, die zu einer Rechteausweitung für einen authentifizierten Benutzer führt. Jede SAP-Commerce-Installation, die Commerce Organization nutzt, ist von dieser Schwachstelle betroffen, die die Integrität und Verfügbarkeit des Systems erheblich gefährden kann.
 
Der SAP-Sicherheitshinweis Nr. 2827086, der mit einem CVSS-Score von 7,9 versehen ist, ist der dritte Hinweis mit hoher Priorität des Patch Day im November. Er betrifft SAP Forecasting and Replenishment for Retail (FRP oder F&R). Diese Softwarekomponente kann an SAP Retail angebunden werden, die anfällige Engine kann jedoch auch mit Einkaufssystemen anderer Softwareanbieter verwendet werden. SAP F&R wird von Einzelhandelsunternehmen eingesetzt, um Überbestände abzubauen und Fehlbestände in Distributionszentren und Filialen zu reduzieren. Außerdem dient es dazu, die Transparenz in der Lieferkette zu erhöhen. Der Hinweis behebt bekannte Schwachstellen in Open-Source-Bibliotheken, die von der Software genutzt werden. SAP erwähnt eine Speicherbeschädigungs-Schwachstelle und eine Denial-of-Service-Schwachstelle, die im schlimmsten Fall zu einem vollständigen Systemabsturz führen können.
 

Offenlegung von Informationen in SAP GUI für Windows

Mit einem CVSS-Wert von 6,8 verfehlte der SAP-Sicherheitshinweis Nr . 3080106 nur knapp die Einstufung als Hinweis mit hoher Priorität. Aufgrund der hohen Anzahl betroffener SAP-Kunden ist er dennoch hier erwähnenswert. Der Hinweis behebt eine Sicherheitslücke in SAP GUI für Windows 7.60 und 7.70, die es einem Angreifer mit „ausreichenden Berechtigungen auf dem lokalen Client-PC ermöglicht, das (SAP-)Passwort eines (angemeldeten) Benutzers zu erlangen“. Mit diesen Informationen kann sich der Angreifer am SAP-System anmelden und sich als der ursprüngliche SAP-Benutzer ausgeben. Der CVSS-Wert von 6,8 spiegelt nicht die Auswirkungen wider, sobald der Angreifer verbunden ist. 
 

Informationen zum SAP-Sicherheitshinweis Nr. 3105728

Der SAP-Sicherheitshinweis Nr. 3105728 ist mit einem CVSS-Wert von 4,9 versehen und beschreibt eine Sicherheitslücke durch „Leverage of Permission“ im SAP NetWeaver Application Server für ABAP und in Platform. Er behebt eine Vorlagenrolle, die unnötig hohe Berechtigungen enthält, die es ermöglichen, „ABAP-Artefakte zu transportieren“. Der zugehörige Patch kann natürlich nur diese Vorlagenrolle beheben. Er kann keine Kundenrolle korrigieren, die aus dieser Vorlagenrolle kopiert wurde. Der Hinweis erklärt kurz, wie solche Rollen identifiziert werden können. Da Transporte zu den am meisten unterschätzten Angriffsvektoren in SAP gehören, möchte ich näher erläutern, wie Rollen identifiziert werden können, die möglicherweise manuell korrigiert werden müssen:
 

1. Melden Sie sich mit einem Administratorkonto im SAP-System an

2. Transaktion SUIM aufrufen

3. Erweitern Sie die Menüstruktur und wählen Sie die folgende Option aus:

1

4. Geben Sie im folgenden Bildschirm im Feld „Objekt 1“ den Wert „S_CTS_ADMI“ ein:

2

 
5. Klicken Sie auf die Schaltfläche „Werte eingeben“ (
). 6. Geben Sie die Werte IMPA und IMPS als Filter für das Feld CTS_ADMFCT ein:

3

 
7. Drücken Sie „Ausführen“ (F8)

Als Ergebnis erhalten Sie alle Einzel- und Sammelrollen, die die kritischen Werte enthalten. Je nach Verwendungszweck der Rollen sollten die Werte mit dem Profilgenerator (Transaktion PFCG) entfernt werden.
 

Zusammenfassung und Schlussfolgerungen

Der Patch Day von SAP im November verlief relativ ruhig. Insgesamt elf Security-Hinweise, davon nur drei neue mit einem CVSS-Wert über 7,0, stellen einen Rekordtiefstand für dieses Jahr dar. Dennoch sollten die Hinweise mit niedrigerer Bewertung nicht unbeachtet bleiben, da einige dieser Schwachstellen für Folgeangriffe genutzt werden können, z. B. durch das Vortäuschen einer anderen Identität oder das Ausnutzen von Transportberechtigungen. Letztendlich entspricht die Bewertung der Hinweise dieses Monats nicht immer dem Schaden, den sie anrichten könnten.

Onapsis Research Labs aktualisiert die Platform kontinuierlich, Platform neu bekannt gewordene Sicherheitslücken zu berücksichtigen, Platform unsere Kunden ihre Unternehmen schützen können.

Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest“-Newsletter.

Tags,
Über den Autor

Thomas Fritsch

Als führender SAP-Sicherheitsforscher bei Onapsis gilt Thomas Fritsch als anerkannte Autorität in den Bereichen vulnerability management und neue Bedrohungen. Aufgrund seiner langjährigen Erfahrung als SAP-Experte konzentriert er sich auf hochtechnische Bereiche wie die Konfiguration von SAP-Systemen und das Transportmanagement. Thomas’ Analysen der neuesten SAP-Sicherheitspatches und -Schwachstellen sind ein zentraler Bestandteil der Forschungsarbeit, die Unternehmen die fundierten und umsetzbaren Erkenntnisse liefert, die sie zum Schutz ihrer Systeme benötigen. Seine Rolle als angesehener Redner und Autor festigt seinen Ruf als maßgebliche Stimme im Bereich der SAP-Cybersicherheit und trägt dazu bei, die Lücke zwischen komplexer Forschung und praktischen Sicherheitsmaßnahmen in der realen Welt zu schließen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen