SAP-Sicherheitspatch-Tag: Oktober 2022

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Oktober gehören:

• Zusammenfassung für Oktober – 23 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter zwei HotNews-Hinweise und sechs Hinweise mit hoher Priorität 
• Zwei HotNews-Meldungen mit einem CVSS-Wert nahe 10 – CVSS 9,9-Sicherheitslücke in SAP Manufacturing Execution und CVSS 9,6-Problem in SAP Commerce
• Umfangreiche Aufgabenliste für SAP-BO-Kunden – SAP Business Objects ist von acht neuen und aktualisierten SAP-Sicherheitshinweisen betroffen, darunter drei Hinweise mit hoher Priorität

SAP hat im Rahmen seines „Patch Day“ im Oktober 23 neue und aktualisierte Sicherheitshinweise veröffentlicht (einschließlich der Hinweise, die seit dem letzten „Patch Tuesday“ veröffentlicht oder aktualisiert wurden). Darunter befinden sich zwei „HotNews“-Hinweise und sechs Hinweise mit hoher Priorität. 

SAP Manufacturing Execution – HotNews -Hinweis

Der SAP-Sicherheitshinweis Nr. 3242933, der mit einem CVSS-Wert von 9,9 bewertet wurde, behebt eine sehr kritische Path-Traversal-Sicherheitslücke in SAP Manufacturing Execution. Die Sicherheitslücke betrifft zwei Plugins:

• Arbeitsanweisungs-Viewer (WI500)
• Visuelle Prüfung und Reparatur (MODEL_VIEWER)

Diese dienen zur Darstellung aller Arten von Arbeitsanweisungen und Modellen.

Die URL zur Abfrage dieser Informationen enthielt einen Dateipfadparameter, der manipuliert werden konnte, um ein beliebiges Durchlaufen von Verzeichnissen auf dem Remote-Server zu ermöglichen. Der Dateiinhalt in jedem Verzeichnis konnte im Benutzerkontext des Betriebssystembenutzers gelesen werden, der den NetWeaver-Prozess oder -Dienst ausführte. Der Patch enthält eine Code-Korrektur, die den Pfad intern verarbeitet. Er verhindert, dass dieser dynamisch als Anfrageparameter bereitgestellt werden kann. Der CVSS-Score von 9,9 basiert auf der Tatsache, dass die Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit hoch sein können, je nach Art der Informationen, auf die während eines Angriffs zugegriffen werden kann.

Als vorübergehende Abhilfe empfiehlt SAP, alle sensiblen Informationen aus den Dateisystemen zu entfernen, auf die der Betriebssystembenutzer Zugriff hat, und den Zugriff dieses Benutzers auf nicht benötigte Dateipfade einzuschränken.

Da die Identifizierung sensibler Daten komplex sein kann, kann diese Abhilfe das Risiko lediglich minimieren. Betroffene Kunden sollten daher den Patch so bald wie möglich installieren. Es wird jedoch grundsätzlich empfohlen, den Zugriff auf sensible Daten einzuschränken, unabhängig davon, ob in der Anwendung eine Sicherheitslücke besteht oder nicht.

SAP Commerce HotNews – Hinweis

Der zweite HotNews-Hinweis ist der SAP-Sicherheitshinweis Nr. 3239152 mit einem CVSS-Wert von 9,6. Dieser Hinweis behebt eine Sicherheitslücke im Zusammenhang mit der Übernahme von Benutzerkonten auf der Anmeldeseite von SAP Commerce. Die Anmeldeseite enthält mehrere URLs, die beim Absenden des Anmeldeformulars aufgerufen werden. Diese URLs wurden von SAP nicht ordnungsgemäß bereinigt und konnten durch Manipulation der zum Aufruf des Anmeldeformulars verwendeten URL geändert werden. Angreifer konnten Umleitungsinformationen in die URLs der Anmeldeseite einschleusen, wodurch die Anmeldeseite sensible Informationen wie Anmeldedaten an einen beliebigen Server im Internet weiterleitete. Angreifer benötigten keine Berechtigungen, um einen Exploit zu starten, aber sie benötigten einen Benutzer, der auf den bösartigen Link klickte, der das manipulierte Anmeldeformular öffnete, um den Exploit auszuführen. Angreifer können Benutzer dazu verleiten, auf diese Art von Link zu klicken, indem sie Phishing-Techniken einsetzen, um die manipulierte URL an legitime SAP-Commerce-Benutzer zu verteilen.

SAP bietet zwei mögliche Workarounds an: Die erste Option empfiehlt, die betroffene OAuth-Erweiterung zu deaktivieren. Das klingt nach einer einfachen Lösung, es wird jedoch darauf hingewiesen, dass viele andere SAP-Commerce-Erweiterungen sowie Integrationen mit anderen Systemen möglicherweise auf die OAuth-Erweiterung angewiesen sind.  

Die zweite Abhilfemaßnahme empfiehlt, bösartige HTTP-Anfragen mithilfe von Website-Redirect-Anweisungen zu filtern. In der Notiz werden zwei Anweisungen aufgeführt, die bewirken, dass SAP Commerce manipulierte Anfragen nicht verarbeitet und stattdessen mit dem HTTP-Statuscode 404 antwortet.

Da jedoch nicht garantiert werden kann, dass die Richtlinien alle möglichen Situationen abdecken, wird dringend empfohlen, den Patch zu installieren. Der Patch behebt diese Sicherheitslücke, indem er URL-Pfade bereinigt und HTML-kodierte URLs auf der betroffenen OAuth-Anmeldeseite ausgibt.

Sicherheitslücken in SAP Business Objects

SAP Business Objects (BO) ist von acht neuen und aktualisierten SAP-Sicherheitshinweisen betroffen, darunter drei Hinweise mit hoher Priorität. 

Die acht Patches beheben fünf Sicherheitslücken im Zusammenhang mit der Offenlegung von Informationen und drei Cross-Site-Scripting-Schwachstellen.

Eine Analyse der erforderlichen Patch-Stände des Support-Pakets zeigt, dass die folgenden Patch-Stände sieben dieser Sicherheitslücken beheben:

• SBOP BI PLATFORM 4.2
  • SP009, PL001000
• SBOP BI PLATFORM 4.3
  • SP002, PL000700
  • SP003, PL000000

Der SAP-Sicherheitshinweis Nr . 3167342 betrifft die Softwarekomponente „SAP Data Services“ und ist daher nicht in den oben genannten zusammenfassenden Informationen zum Patch enthalten.

Die drei Sicherheitshinweise mit hoher Priorität zu Sicherheitslücken bei der Offenlegung von Informationen im SAP BusinessObjects-Patch.

Der SAP-Sicherheitshinweis Nr . 3229132, der mit einem CVSS-Wert von 8,2 bewertet wurde, behebt eine Sicherheitslücke, die zur Offenlegung von Informationen führen kann. Die Schwachstelle ermöglicht es Angreifern, Anmeldedaten anderer Benutzer abzugreifen. Damit ein Angriff erfolgreich ist, müssen Angreifer authentifiziert sein. Je nachdem, ob sie als Administrator oder als normaler Benutzer authentifiziert wurden, können sie die Anmeldedaten im Klartext oder in verschlüsselter Form einsehen. Die verschlüsselten Informationen werden als Teil eines Abfrageergebnisses zurückgegeben, das in der CMS-Datenbank durchgeführt wurde.

Die zweite Sicherheitslücke der Kategorie „High Priority Information Disclosure“ wird durch den SAP-Sicherheitshinweis Nr. 3239293 behoben, der mit einem CVSS-Wert von 7,7 bewertet ist. Der Hinweis enthält keine näheren Angaben zu der Sicherheitslücke, die die Komponente „BOE Admin Tools/BOE SDK“ betrifft; im Gegensatz zum Hinweis Nr. 3229132 sieht SAP jedoch keine Auswirkungen auf die Integrität und Verfügbarkeit des Systems.

Der SAP-Sicherheitshinweis Nr . 3213507 wurde ursprünglich am Patch Day im August von SAP veröffentlicht und Ende September aktualisiert. Wie in unserem Blogbeitrag vom August beschrieben, gab es einige Unstimmigkeiten bei der CVSS-Bewertung. Auf Grundlage unserer Meldung hat SAP die CVSS-Bewertung für diese Schwachstelle nun vollständig überarbeitet, und der zuvor als „mittlere Priorität“ eingestufte Hinweis mit einem CVSS-Wert von 5,2 wurde nun zu einem Hinweis mit „hoher Priorität“ und einem CVSS-Wert von 8,2.

Weitere Hinweise mit hoher Priorität

Neben den drei Notes mit hoher Priorität für SAP BO gibt es zwei für SAP 3D Visual Enterprise und eine weitere für SAP SQL Anywhere/SAP IQ.

Die SAP-Sicherheitshinweise Nr. 3245928 und Nr . 3245929, die beide mit einem CVSS-Score von 7,0 bewertet sind, beheben sehr ähnliche Sicherheitslücken im SAP 3D Visual Enterprise Viewer und im SAP 3D Visual Enterprise Author. Eine unsachgemäße Speicherverwaltung könnte dazu führen, dass ein Opfer manipulierte Dateien, die aus nicht vertrauenswürdigen Quellen stammen, im SAP 3D Visual Enterprise Viewer/Author öffnet. Je nach Art der Dateimanipulation könnte dies zur Ausführung von beliebigem Code oder zu einem Denial-of-Service führen. Die beiden Hinweise unterscheiden sich geringfügig hinsichtlich der betroffenen Dateiformate. Die Schwachstelle im Viewer (#3245928) betrifft weniger Dateiformate als die Schwachstelle im Author (#3245929).

Im Abschnitt „Lösungen“ beider Hinweise sind die behobenen Dateiformate aufgeführt. Dies lässt vermuten, dass für einige Formate noch Korrekturen ausstehen; vergleicht man diese Liste jedoch mit der Liste der zuvor betroffenen Formate, scheint kein Dateiformat mehr unberücksichtigt zu sein. 

Der Hinweis mit hoher Priorität Nr. 3232021, der mit einem CVSS-Wert von 8,1 versehen ist, behebt eine Pufferüberlauf-Sicherheitslücke in den Datenbankservern SAP SQL Anywhere und SAP IQ. Nicht authentifizierte Angreifer könnten bei aktivierter Debugging-Option während des Serverbetriebs einen stapelbasierten Pufferüberlauf auslösen. Ein Missbrauch dieser Schwachstelle könnte zum unbefugten Auslesen und Ändern von Daten führen sowie die Verfügbarkeit des Systems beeinträchtigen.

Zusammenfassung und Schlussfolgerung

Mit 23 neuen und aktualisierten Sicherheitshinweisen, darunter zwei „HotNews“-Hinweise und sechs Hinweise mit hoher Priorität, bringt dieser Patch-Tag für SAP-Kunden mehr zu tun mit sich als die vorherigen. Es ist wichtig, sich einen vollständigen Überblick über alle behobenen Sicherheitslücken zu verschaffen, bevor mit der Implementierung der einzelnen Patches begonnen wird. Das Beispiel der Sicherheitslücken bei SAP Business Objects zeigt, dass betroffene Kunden mit nur einem Patch sieben Probleme auf einmal beheben können.

Onapsis Research Labs aktualisiert die Platform Onapsis Research Labs mit den neuesten threat intelligence Sicherheitsempfehlungen, damit unsere Kunden den sich ständig weiterentwickelnden Bedrohungen immer einen Schritt voraus sind und ihre Unternehmen schützen können.

Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest“-Newsletter.