SAP Security Patch Day September 2021: SAP NetWeaver AS JAVA von mehreren HotNews-Sicherheitslücken betroffen

Von:

14. September 2021

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom September gehören:

  • Zusammenfassung für September 21 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter sieben HotNews-Hinweise und zwei Hinweise mit hoher Priorität. 81 % der behobenen Sicherheitslücken wurden von externen Mitwirkenden gemeldet. 
  • Die wichtigsten Patches für SAP NW AS JAVA – JMS Connector Service, SAP NW Knowledge Management und Visual Composer betroffen 
  • Onapsis Research Labs –Onapsis Research Labs zur Behebung von fünf Sicherheitslücken Onapsis Research Labs , die in drei SAP-Sicherheitshinweisen behandelt wurden

SAP hat an seinem Patch Day im September 21 neue und aktualisierte Sicherheitshinweise veröffentlicht (einschließlich der Hinweise, die seit dem letzten Patch Tuesday veröffentlicht oder aktualisiert wurden). Darunter befinden sich sieben HotNews-Hinweise und zwei Hinweise mit hoher Priorität. 

Der „Patch Tuesday“ von SAP im September erfordert erneut besondere Aufmerksamkeit. Er umfasst die bemerkenswerte Zahl von fünf neuen HotNews-Hinweisen, von denen einer einen CVSS-Wert von 10 und drei einen CVSS-Wert von 9,9 aufweisen. Zudem wurden zwei Hinweise mit hoher Priorität veröffentlicht – einer für SAP-Kunden, die den SAP Web Dispatcher nutzen, und einer für Kunden, die eine auf SAP CommonCryptolib basierende Verschlüsselung verwenden.

Am 24. August wurden zwei HotNews-Hinweise aktualisiert. Der SAP-Sicherheitshinweis Nr. 3071984, der mit einem CVSS-Wert von 9,9 versehen ist, enthält eine aktualisierte Beschreibung einer möglichen Abhilfe. Der Hinweis behebt eine Sicherheitslücke durch uneingeschränkten Datei-Upload in SAP Business One und wurde ursprünglich am SAP-Patch-Day im August veröffentlicht.

Der zweite aktualisierte HotNews-Hinweis ist der immer wiederkehrende SAP-Sicherheitshinweis Nr. 2622660, der einen SAP Business Client-Patch mit den neuesten getesteten Chromium-Korrekturen bereitstellt. Kunden des SAP Business Client wissen bereits, dass Aktualisierungen dieses Hinweises stets wichtige Korrekturen enthalten, die unbedingt umgesetzt werden müssen. Der Hinweis verweist auf 57 Chromium-Korrekturen mit einem maximalen CVSS-Wert von 9,6 – 24 davon sind mit „hoher Priorität“ eingestuft. Die letzte Zahl spiegelt nur Schwachstellen wider, die extern gemeldet wurden, da Google keine solchen Informationen über intern erkannte Probleme bereitstellt.

Die HotNews -Notizen im Detail

Der SAP-Sicherheitshinweis Nr. 3078609, der mit der höchstmöglichen CVSS-Bewertung von 10,0 versehen ist, behebt eine Sicherheitslücke aufgrund einer fehlenden Autorisierungsprüfung im Java Message Service (JMS) Connector Service eines SAP NetWeaver AS JAVA-Systems. Der JMS Connector Service ist ein Unternehmens-Messaging-System, das Geschäftsanwendungen die Möglichkeit bietet, Daten auszutauschen, ohne direkt miteinander verbunden zu sein. Die Kommunikation erfolgt über Nachrichten. Er ermöglicht verschiedene Nachrichtenmodelle wie Point-to-Point-Messaging oder Publish-Subscribe-Szenarien. Angesichts der zentralen Rolle des JMS-Connector-Service und der höchsten CVSS-Bewertung der Schwachstelle besteht kein Zweifel daran, dass die Installation des entsprechenden Patches dringend empfohlen wird. Andernfalls besteht das Risiko, dass vertrauliche Daten gelesen, aktualisiert oder gelöscht werden.

Onapsis Research Labs hat eine weitere kritische Sicherheitslücke entdeckt, die SAP NetWeaver Knowledge Management (SAP KM) betrifft. Unser Team hat eine XSLT-Sicherheitslücke identifiziert, die es einem nicht als Administrator authentifizierten Angreifer ermöglicht, eine bösartige XSL-Stylesheet-Datei zu erstellen, die ein Skript mit Befehlen auf Betriebssystemebene enthält, diese an einen für das System zugänglichen Speicherort zu kopieren und anschließend eine Datei zu erstellen, die die XSLT-Engine dazu veranlasst, das in der bösartigen XSL-Datei enthaltene Skript auszuführen. Die Schwachstelle wurde mit dem SAP-Sicherheitshinweis Nr . 3081888 behoben, der mit einem CVSS-Score von 9,9 bewertet wurde. Nur die Tatsache, dass für die Ausnutzung der Schwachstelle eine Mindestberechtigung erforderlich ist, verhindert, dass sie am SAP-Patch-Day im September erneut mit 10,0 bewertet wurde.

Dieser Sicherheitshinweis gilt auch für zwei weitere HotNews-Hinweise, die ebenfalls mit einem CVSS-Wert von 9,9 gekennzeichnet sind:

Die erste betrifft SAP Visual Composer, ein Tool, mit dem Geschäftsprozess-Designer Anwendungen und Prototypen modellieren können, ohne eine einzige Zeile Code schreiben zu müssen. Die Ausnutzung dieser Schwachstelle ähnelt stark der zuvor beschriebenen: Aufgrund einer Schwachstelle beim uneingeschränkten Hochladen von Dateien kann ein Benutzer ohne Administratorrechte eine schädliche Datei über das Netzwerk hochladen und deren Verarbeitung auslösen, wodurch Betriebssystembefehle mit den Berechtigungen des Java-Server-Prozesses ausgeführt werden können. Laut dem entsprechenden SAP-Sicherheitshinweis Nr . 3084487 könnten Angreifer beliebige Informationen auf dem Server lesen und ändern oder den Server herunterfahren, wodurch dieser nicht mehr verfügbar wäre.

Der zweite Patch behebt SQL-Injection-Schwachstellen in nicht weniger als 25(!) RFC-fähigen Funktionsmodulen des „Near Zero Downtime“ (NZDT)-Mapping-Table-Frameworks, das bei System-Upgrades und -Migrationen zum Einsatz kommt. Eine unsachgemäße Eingabesanierung ermöglicht es einem authentifizierten Benutzer mit bestimmten Berechtigungen, diese Funktionsbausteine aus der Ferne aufzurufen und manipulierte Abfragen auszuführen, um Zugriff auf die Backend-Datenbank zu erlangen. Der SAP-Sicherheitshinweis Nr. 3089831 enthält einen Patch für diese Schwachstelle, der zu einer vollständigen oder teilweisen Deaktivierung der betroffenen Funktionsbausteine führt. Als Workaround können Kunden mit aktivierten Unified Connectivity (UCON)-Laufzeitprüfungen die betroffenen Funktionsbausteine auch manuell deaktivieren. Wichtig: Unabhängig davon, welche Methode zum Beheben der Schwachstellen verwendet wird, führen beide dazu, dass das Produkt SAP Test Data Migration Server unbrauchbar wird. Der separate Hinweis Nr. 3094474 beschreibt, wie diese Anwendung wieder aktiviert werden kann. Er führt eine Zulassungsliste von Tabellen ein, die von den betroffenen Funktionsmodulen gelesen oder aktualisiert werden dürfen, sodass der Zugriff auf beliebige Tabellen nicht mehr möglich ist.

Die Reihe der neu veröffentlichten HotNews-Hinweise wird durch den SAP-Sicherheitshinweis Nr. 3073891 vervollständigt, der mit einem CVSS-Score von 9,6 versehen ist. Er behebt Schwachstellen im Zusammenhang mit OS-Befehlsinjektion und reflektiertem Cross-Site-Scripting in der Chat-Anwendung von SAP Contact Center. Aufgrund fehlender Kodierung in der Communication-Desktop-Komponente von SAP Contact Center könnte ein Angreifer ein bösartiges Skript in eine Chat-Nachricht einschleusen. Wenn die Nachricht vom Chat-Empfänger angenommen wird, wird das Skript in dessen Bereich ausgeführt. Da ActiveX-Steuerelemente in der Anwendung verwendet werden, kann der Angreifer darüber hinaus Befehle auf Betriebssystemebene im Bereich des Chat-Empfängers ausführen. Laut SAP könnte dies zu einer vollständigen Gefährdung der Vertraulichkeit und Integrität führen und zudem vorübergehend die Verfügbarkeit beeinträchtigen.

Zwei Hinweise mit hoher Priorität wurden in Zusammenarbeit mit The Onapsis Research Labs veröffentlicht

Auch dieses Mal Onapsis Research Labs die Onapsis Research Labs wieder einen Beitrag zum SAP Patch Tuesday leisten. Neben der Unterstützung von SAP bei der Behebung der in der HotNews-Meldung Nr . 3081888 beschriebenen Code-Injection-Sicherheitslücke (siehe vorheriger Abschnitt) haben wir SAP bei der Behebung von zwei Sicherheitslücken mit hoher Priorität unterstützt.

Der SAP-Sicherheitshinweis Nr. 3080567, der mit einem CVSS-Wert von 8,9 versehen ist, behebt eine Sicherheitslücke im SAP Web Dispatcher, die durch HTTP-Request-Smuggling ausgenutzt werden kann.

HTTP-Request-Smuggling ist eine Technik, mit der die Art und Weise manipuliert wird, wie eine Website Sequenzen von HTTP-Anfragen verarbeitet, die von einem oder mehreren Benutzern empfangen werden.

SAP-Benutzer senden Anfragen an einen SAP Web Dispatcher (SAP WDP), und der SAP WDP leitet diese Anfragen an einen oder mehrere ABAP-, JAVA- oder HANA-Backend-Server weiter. In diesem Fall ist es entscheidend, dass sich der SAP WDP und die Backend-Systeme über die Grenzen zwischen den Anfragen einig sind. Andernfalls könnte ein Angreifer eine mehrdeutige Anfrage senden, die vom SAP WDP und den Backend-Systemen unterschiedlich interpretiert wird. Die HTTP-Spezifikation bietet zwei verschiedene Methoden zur Angabe der Länge von HTTP-Nachrichten. Es ist möglich, dass eine einzelne Nachricht beide Methoden gleichzeitig verwendet. Unter bestimmten Umständen verwenden der SAP WDP und die Backend-Systeme nicht dieselbe Methode zur Interpretation der Länge einer HTTP-Nachricht. Somit könnte ein Angreifer Nachrichten senden, die beide Methoden verwenden und unterschiedliche, miteinander in Konflikt stehende Informationen liefern. Infolgedessen ist das Backend-System nicht in der Lage, jede einzelne Nachricht eindeutig zu identifizieren und zu trennen. Dies könnte von einem Angreifer ausgenutzt werden, um control Anfragen anderer Benutzer zu erlangen und sogar sensible Informationen zu erlangen, indem er die Anfragen und Antworten des Opfers abruft.

Die Onapsis Research Labs unterstützten SAP Onapsis Research Labs bei der Behebung einer Null-Pointer-Dereference-Sicherheitslücke in SAP CommonCryptoLib. Ein nicht authentifizierter Angreifer könnte speziell gestaltete bösartige HTTP-Anfragen über das Netzwerk senden, was zu einer Speicherbeschädigung führt, die schließlich in einer Null-Pointer-Dereference mündet. Dies führt zum Absturz der SAP-Anwendung und hat erhebliche Auswirkungen auf die Verfügbarkeit des SAP-Systems. Der Patch ist in der SAP-Sicherheitsnotiz Nr . 3051787 enthalten und mit einem CVSS-Score von 7,5 bewertet. Es gibt keine Abhilfe.

Zusammenfassung und Schlussfolgerungen

Mit 21 neuen und aktualisierten Sicherheitshinweisen, darunter sieben HotNews-Hinweise und zwei Hinweise mit hoher Priorität, ist dies ein weiterer arbeitsreicher Patch-Tag für SAP-Kunden (und mich :-) ).

Besonders bemerkenswert ist, dass 81 % der behobenen Sicherheitslücken von externen Mitwirkenden wie Onapsis gemeldet wurden. Dies verdeutlicht eindrucksvoll, wie wichtig externe Forscher für das SAP-Ökosystem sind. Als führender Anbieter von Softwarelösungen zum Schutz geschäftskritischer Anwendungen investiert Onapsis weiterhin in seine Forschungsarbeit und analysiert sowie untersucht proaktiv Entwicklungen bei geschäftskritischen Anwendungen, um Sicherheitserkenntnisse und Bedrohungsinformationen bereitzustellen. 

September 2021

Onapsis Research Labs aktualisiert die Platform Onapsis Research Labs mit den neuesten threat intelligence Sicherheitsempfehlungen, damit unsere Kunden den sich ständig weiterentwickelnden Bedrohungen immer einen Schritt voraus sind und ihre Unternehmen schützen können.

Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest“-Newsletter.

Stichwörter, , ,
Über den Autor

Thomas Fritsch

Als führender SAP-Sicherheitsforscher bei Onapsis gilt Thomas Fritsch als anerkannte Autorität in den Bereichen vulnerability management und neue Bedrohungen. Aufgrund seiner langjährigen Erfahrung als SAP-Experte konzentriert er sich auf hochtechnische Bereiche wie die Konfiguration von SAP-Systemen und das Transportmanagement. Thomas’ Analysen der neuesten SAP-Sicherheitspatches und -Schwachstellen sind ein zentraler Bestandteil der Forschungsarbeit, die Unternehmen die fundierten und umsetzbaren Erkenntnisse liefert, die sie zum Schutz ihrer Systeme benötigen. Seine Rolle als angesehener Redner und Autor festigt seinen Ruf als maßgebliche Stimme im Bereich der SAP-Cybersicherheit und trägt dazu bei, die Lücke zwischen komplexer Forschung und praktischen Sicherheitsmaßnahmen in der realen Welt zu schließen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen