SAP Security Patch Day Oktober 2021: Kritische Patches für SAP Environmental Compliance und SAP Software Logistics veröffentlicht

Von:

12. Oktober 2021

  • Zusammenfassung für Oktober – 17 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter drei HotNews-Hinweise und ein Hinweis mit hoher Priorität
  • Zwei Anwendungen im Fokus – SAP Environmental Compliance und SAP Software Logistics
  • Ein Streifzug durch die Welt der Workarounds – Die einfachste Lösung ist meist nicht die beste Lösung

SAP hat im Rahmen seines Patch-Releases vom Oktober 2021 17 neue und aktualisierte SAP-Sicherheitshinweise veröffentlicht, darunter auch die Hinweise, die seit dem letzten Patch-Tag erschienen sind. Im Rahmen des diesjährigen Patch-Releases gibt es drei „HotNews“-Hinweise und einen Hinweis mit hoher Priorität.

Nach zwei Monaten mit jeweils neun kritischen SAP-Sicherheitshinweisen (Priorität „HotNews“ und „High“) verläuft der Patch-Day im Oktober etwas ruhiger.

Einer der drei HotNews-Hinweise ist erneut der regelmäßig erscheinende SAP-Sicherheitshinweis Nr. 2622660, der ein Update für den SAP Business Client einschließlich der neuesten unterstützten Chromium-Patches bereitstellt. Der SAP Business Client unterstützt nun Chromium-Version 94.0.4606.54, die im Vergleich zur zuletzt unterstützten Version insgesamt 65 Sicherheitslücken behebt. Der maximale CVSS-Wert aller behobenen Schwachstellen beträgt 8,8, was im Vergleich zu den Höchstwerten der letzten 24 Monate ein relativ niedriger Wert ist.

Wichtige SAP-Sicherheitshinweise im Oktober

Gemessen am CVSS-Score ist der SAP-Sicherheitshinweis Nr. 3101406 mit einem CVSS-Score von 9,8 der kritischste des SAP-Patch-Days im Oktober. Er behebt eine Sicherheitslücke durch XML-External-Entity-Injection (XEE) in SAP Environmental Compliance (SAP EC). SAP EC ist eine Anwendung, die zur Unterstützung von Emissionsmanagement und Compliance-relevanten Prozessen in einem industriellen Umfeld entwickelt wurde. Die Anwendung ermöglicht den Import von Stammdaten wie Materialien, Anlagen, Hierarchien oder Parametern aus einer Excel-Vorlage. Da diese Funktionalität eine Standardbibliothek mit Open-Source-Softwarekomponenten nutzt, ist sie direkt von allen in diesen Komponenten vorhandenen Schwachstellen betroffen. Der Patch wird mit neueren Versionen der betroffenen Softwarekomponenten ausgeliefert, die die Schwachstellen CVE-2020-10683, BDSA-2017-0180 und CVE-2021-23926 nicht mehr enthalten.

SAP beschreibt die möglichen Auswirkungen nicht im Detail. Angesichts der Tatsache, dass der zugewiesene CVSS-Vektor auf eine hohe Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit hinweist, ist davon auszugehen, dass es eine Vielzahl möglicher Exploits gibt. Im Allgemeinen handelt es sich bei einer XEE-Injection-Schwachstelle um eine Web-Sicherheitslücke, die es einem Angreifer ermöglicht, die Verarbeitung von XML-Daten durch eine Anwendung zu stören. Oftmals kann ein Angreifer dadurch Dateien im Dateisystem des Anwendungsservers einsehen und mit beliebigen Backend- oder externen Systemen interagieren, auf die die Anwendung selbst Zugriff hat.
 
Die zweite neue HotNews-Meldung ist der SAP-Sicherheitshinweis Nr. 3097887 mit einem CVSS-Score von 9,1. Er behebt eine kritische Schwachstelle in einem ABAP-Bericht des Software-Logistiksystems von SAP NetWeaver AS ABAP und Platform. Der im März 1995 erstellte Bericht scheint harmlos zu sein, da er lediglich einige Informationen zu bestimmten Transportaufträgen und/oder Aufgaben bereitstellt. Tatsächlich ermöglicht er jedoch jedem mit einem minimalen Berechtigungsumfang, Änderungen vorzunehmen. Externe Forscher haben festgestellt, dass diese Änderungen nicht ausreichend durch Berechtigungen geschützt sind. Infolgedessen können sie ausgenutzt werden, um ABAP-Code-Artefakte oder Inhalte in Qualitäts- und Produktionssysteme zu übertragen und dabei die etablierten Qualitätskontrollen zu umgehen. 
 
Die entdeckte Schwachstelle ist ein perfektes Beispiel für die Risiken, die mit dem Software-Logistiksystem im Allgemeinen verbunden sind. Als Verbindung zwischen Entwicklungs-, Qualitätssicherungs- und Produktionssystemen stellt es eine zentrale Komponente in SAP dar, die fast alle Änderungen in einer SAP-Landschaft verwaltet. Kein Wunder, dass es einen attraktiven Einstiegspunkt für Angreifer darstellt!
 
Der einzige Hinweis mit hoher Priorität am SAP-Patch-Day im Oktober ist der SAP-Sicherheitshinweis Nr. 3077635, der mit einem CVSS-Score von 7,8 versehen ist und eine Denial-of-Service-Sicherheitslücke in der SAP SuccessFactors für Android-Geräte behebt. Der Hinweis beschreibt, dass diese Anwendung einige weit verbreitete Android-Methoden implementiert hat, die ausgeführt werden, sobald der Benutzer auf sein Profil zugreift. Während der Ausführung können sie auch mit Aktivitäten anderer Android-Anwendungen interagieren, die im Hintergrund des Geräts des Benutzers laufen und dieselben Arten von Methoden in der Anwendung verwenden. Zusätzlich zu der beschriebenen Denial-of-Service-Schwachstelle kann dies auch zu Phishing-Angriffen führen, die zur Vorbereitung anderer Arten von Angriffen genutzt werden können.

Ein Streifzug durch die Welt der Workarounds

Wie fast an jedem SAP-Patch-Tuesday enthält auch der Patch-Day im Oktober einige Sicherheitshinweise, die eine Umgehungslösung als Alternative zur Installation des beigefügten Patches anbieten. Während SAP diese Umgehungslösungen in der Regel mit einem Standardhinweis kennzeichnet, wonach eine solche Umgehungslösung nur als vorübergehende Lösung betrachtet werden sollte und nur die Installation des beigefügten Patches einen 100-prozentigen Schutz bietet, hat SAP im Oktober drei Sicherheitshinweise veröffentlicht (SAP-Sicherheitshinweise Nr. 3084937,#3080710 und#3099011) veröffentlicht, die diesen Hinweis nicht enthalten. Sie beheben alle Schwachstellen in ICF-Diensten, und die entsprechenden Workarounds empfehlen, die betroffenen Dienste zu deaktivieren. Auf den ersten Blick erscheint dies völlig vernünftig. Bei genauerer Betrachtung dieser Empfehlung zeigen sich jedoch mindestens zwei Risiken, wenn die Patches nicht installiert werden:

  1. Wenn ein Dienst derzeit von keiner der Geschäftsanwendungen benötigt wird, neigt ein Administrator dazu, die „einfache“ Abhilfemaßnahme zu wählen und den anfälligen Dienst einfach zu deaktivieren. Einige Wochen, Monate oder sogar Jahre später kann es jedoch vorkommen, dass neue Anwendungen oder Änderungen an bestehenden Anwendungen eine Reaktivierung des Dienstes erfordern. Wenn der Grund für die frühere Deaktivierung nicht ordnungsgemäß dokumentiert wurde, besteht ein hohes Risiko, dass der (nach wie vor anfällige) Dienst wieder aktiviert wird. 
  2. Der Status eines ICF-Dienstes kann auch unbemerkt von außerhalb des Systems durch eine speziell gestaltete Transportanforderung manipuliert werden. Dies ermöglicht es einem Angreifer, einen anfälligen ICF-Dienst auf einem System wieder zu aktivieren, selbst wenn er keinen Benutzer auf diesem System hat.

Zusammenfassung und Schlussfolgerungen

Nach zwei ereignisreichen Monaten verlief der SAP-Patch-Day im Oktober mit nur vier kritischen Sicherheitshinweisen eher ruhig. Die Erkenntnis aus diesem Patch-Day: Das Software-Logistiksystem von SAP erfordert besondere Aufmerksamkeit. Sicherheitslücken in diesem Bereich, wie die mit dem HotNews-Hinweis Nr. 3097887 behobene, haben in der Regel erhebliche negative Auswirkungen auf SAP-Systeme. Zudem bietet es aufgrund seiner Konzeption eine Angriffsfläche. Entwickler können fast jede Tabelle auf einem Entwicklungssystem über ABAP manipulieren, und das Softwarelogistiksystem erlaubt oft den Transport von Tabellen, die eigentlich nicht für Transporte vorgesehen sind (wie die Tabelle, die Statusinformationen eines ICF-Services enthält). Qualitätssicherungsmaßnahmen in diesem Bereich konzentrieren sich auf Funktionalität und Performance. Sicherheit spielt eine untergeordnete Rolle und beschränkt sich in der Regel auf die Überprüfung ausreichender AUTHORITY-CHECKS in Berichten. Es ist nahezu unmöglich, die Objektliste eines Transportauftrags manuell auf alles zu überprüfen, was einem Zielsystem potenziell schaden könnte. Weitere Informationen zu den Gefahren in der SAP-Softwarelogistik (auch bekannt als SAP Transport Management System) finden Sie in unserer Blog-Reihe„Gefahren im SAP Transport Management“.

Patch-Tag im Oktober 2021

Die Onapsis Research Labs die Platform kontinuierlich, um neu bekannt gewordene Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.

Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest Onapsis“-Newsletter.

Weiterführende Literatur

Tags,
Über den Autor

Thomas Fritsch

Als führender SAP-Sicherheitsforscher bei Onapsis gilt Thomas Fritsch als anerkannte Autorität in den Bereichen vulnerability management und neue Bedrohungen. Aufgrund seiner langjährigen Erfahrung als SAP-Experte konzentriert er sich auf hochtechnische Bereiche wie die Konfiguration von SAP-Systemen und das Transportmanagement. Thomas’ Analysen der neuesten SAP-Sicherheitspatches und -Schwachstellen sind ein zentraler Bestandteil der Forschungsarbeit, die Unternehmen die fundierten und umsetzbaren Erkenntnisse liefert, die sie zum Schutz ihrer Systeme benötigen. Seine Rolle als angesehener Redner und Autor festigt seinen Ruf als maßgebliche Stimme im Bereich der SAP-Cybersicherheit und trägt dazu bei, die Lücke zwischen komplexer Forschung und praktischen Sicherheitsmaßnahmen in der realen Welt zu schließen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen