Konfigurierbare Berechtigungsprüfungen: SAP-Sicherheitshinweise Oktober 2016

Von:

11. Oktober 2016

Heute hat SAP seine monatlichen Sicherheitshinweise veröffentlicht. In diesem Monat gibt es 23 neue SAP-Hinweise, die neue zuschaltbare Berechtigungsprüfungen im RFC enthalten, sowie 7 SAP-Hinweise zu fehlenden Berechtigungsprüfungen. Die Sicherheitshinweise dieses Monats umfassen zudem 29 Aktualisierungen bereits veröffentlichter Sicherheitshinweise. Da nur 3 Hinweise als „hohe Priorität“ eingestuft werden, kann man davon ausgehen, dass der Oktober kein „risikoreicher“ Monat ist. Dennoch erfordern viele der Hinweise dieses Monats eine manuelle Aktivierung, um sicherzustellen, dass sie zur Absicherung von SAP voll wirksam sind. Es wird dringend empfohlen, dass Informationssicherheitsteams die erforderlichen Schritte überprüfen, um den Schutz aufrechtzuerhalten. Im Folgenden erhalten Sie eine Einführung in die Maßnahmen, die erforderlich sind, um die neuesten SAP-Sicherheitshinweise ordnungsgemäß anzuwenden.

Konfigurierbare Berechtigungsprüfungen

Fast die Hälfte der SAP-Hinweise dieses Monats betrifft umschaltbare Berechtigungsprüfungen. Damit sind dies bereits den siebten Monat in Folge, in dem SAP-Hinweise zu umschaltbaren Berechtigungsprüfungen enthalten sind. Wie funktioniert das? Wie die meisten von Ihnen vielleicht bereits wissen, gehören „fehlende Berechtigungsprüfungen“ zu den häufigsten Arten von Sicherheitslücken auf der Platform. Immer wenn ein neues Berechtigungsobjekt über einen SAP-Hinweis hinzugefügt wird, kann dies zu einer Transaktionsverweigerung führen, wenn die Benutzerberechtigungen nicht ordnungsgemäß aktualisiert werden. Bei RFC-Funktionsbausteinen oder kritischen Transaktionen können Berechtigungsprüfungen zu geschäftskritischen Unterbrechungen der Systemkommunikation führen, wenn berechtigte Benutzer nicht über die neu eingeführte Berechtigung verfügen. Für diese Fälle liefert SAP inaktive Berechtigungsänderungen aus, um sicherzustellen, dass der Geschäftsbetrieb nach der technischen Implementierung von Support-Paketen oder SAP-Hinweisen ungestört weiterläuft. Dies ist das zweite Mal, dass SAP im selben Monat mehrere Hinweise zu Berechtigungsprüfungen veröffentlicht hat, nachdem es im November 2014 bereits 27 entsprechende Hinweise gab. Wie erläutert, „kann eine Switchable Authorization Check als ein Mechanismus betrachtet werden, der die Prüfungen für bestimmte Berechtigungsobjekte einrichtet, diese jedoch deaktiviert, bis sie explizit aktiviert werden“. Es ist wichtig zu verstehen, dass die Anwendung dieser Sicherheitshinweise nicht ausreicht, um zu gewährleisten, dass das Problem behoben ist. Es ist sehr wichtig, die Berechtigungsprüfung über die Transaktion SACF (Switchable Authorization Checks Framework) zu aktivieren, die in allen Softwaresystemen auf Basis von SAP NetWeaver AS für ABAP 7.0 und höher verfügbar ist, und den entsprechenden Benutzern die erforderlichen Berechtigungsobjekte zuzuweisen, um Kommunikationsunterbrechungen zu vermeiden. Hier können Sie das für das SACF-Framework pack überprüfen:

  • 740-> SP08
  • 731-> SP13
  • 730-> SP12
  • 720-> SP8
  • 711-> SP14
  • 710-> SP19
  • 702-> SP16
  • 701-> SP16
  • 700-> SP32

SAP-Hinweise mit hoher Priorität

Seit dem letzten Patch Tuesday und bis heute hat SAP drei Korrekturen mit hoher Priorität bereitgestellt. Zwei davon wurden heute veröffentlicht, eine weitere am 22. September, außerhalb des monatlichen Veröffentlichungsplans. Hier finden Sie eine Übersicht über diese wichtigen SAP-Hinweise:

  • Fehlende Authentifizierungsprüfung im Nachrichtenserver-Informationsdienst (2331908): Obwohl es sich um einen Informationsdienst handelt, wird der Fehler als schwerwiegend eingestuft, da er nicht nur die Vertraulichkeit, sondern auch die Verfügbarkeit und Integrität beeinträchtigt.
  • Denial-of-Service (DOS) im SQL Anywhere OData-Server (2330422): Wie bei jeder Sicherheitslücke, die über das Netzwerk und ohne erforderliche Authentifizierung ausgenutzt werden kann, liegt der CVSS-Wert über 7. Dies ist ein weiterer Hinweis, der vorrangig umgesetzt werden sollte.
  • XSRF-Schutz für die CCMS-Überwachungskonsole (1511193): Ein Cross-Site-Request-Forgery-Angriff.

Verbesserungen der RFC-Sicherheit

Die folgende Grafik gibt einen Überblick über die Arten von Sicherheitslücken, die in diesem Monat behoben wurden:

Sicherheitslücken bei Oracle

Aufgrund der Vielzahl an Sicherheitshinweisen zur umschaltbaren Berechtigungsprüfung hat SAP zudem einen Beratungshinweis mit dem Titel „Aktualisierung des RFC-Sicherheitshinweises 2078596“ veröffentlicht. Die Einschränkung des Zugriffs auf Remote Function Calls ist auf SAP NetWeaver AS ABAP 7.4 möglich. Die Unified Connectivity (UCON) bietet Lösungen, um den Fernzugriff auf Funktionsbausteine zu sperren, die nicht aus der Ferne genutzt werden dürfen. In der Regel werden in Unternehmen weniger als 5 % der verfügbaren RFC-Funktionsbausteine in ABAP-basierter Software für die Remote-RFC-Kommunikation genutzt. Diese in aktiven Geschäftsszenarien verwendeten Funktionen können identifiziert werden, und der Remote-Zugriff auf alle anderen Funktionen sollte blockiert werden. UCON schützt den Remote-Zugriff auf RFC-Funktionsbausteine durch Hinzufügen einer neuen Ebene der control unabhängig von Berechtigungsprüfungen ist. Wenn RFC-Funktionsbausteine in einem durch UCON geschützten System aufgerufen werden, prüft das Framework, ob der RFC-Funktionsbaustein in einer Whitelist enthalten ist. Ist der RFC-Funktionsbaustein nicht in der UCON-Standard-Kommunikationsassembly (UCON-Standard-CA) enthalten, wird der Zugriff verweigert und die RFC-Sitzung beendet. UCON wird über die Transaktion UCONCOCKPIT (oder die Transaktion UCONPHTL in Systemen, die vor Support Package 7 freigegeben wurden) konfiguriert. In diesem Monat hat SAP über den Security-Hinweis 2078596 das RFC-Sicherheitsdokument mit den neuesten Schwachstellen aktualisiert, die für die Aufnahme in die Whitelist oder die Aktivierung bereit sind. Wie üblich werden unsere Sicherheitsforscher auf der SAP-Danksagungsseite gewürdigt. In diesem Monat wurden sowohl Matias Mevied als auch Gaston Traberg als Mitwirkende an der Verbesserung der SAP-Sicherheit genannt, und zwar für einen Cross-Site-Scripting-Bericht, der schließlich in SAP-Hinweis 2344441 behoben wurde. Die Onapsis Research Labs sind derzeit dabei, die Onapsis Security Platform zu aktualisieren, Platform diese neu veröffentlichten Sicherheitslücken zu integrieren. So können Sie überprüfen, ob Ihre Systeme auf dem neuesten Stand der SAP-Sicherheitshinweise sind, und sicherstellen, dass diese Systeme mit dem erforderlichen Sicherheitsniveau konfiguriert sind, um Ihre Audit- und Compliance-Anforderungen zu erfüllen. Seien Sie gespannt auf die Analyse der SAP-Sicherheitshinweise im nächsten Monat.

Über den Autor

Julián Rapisardi

Julian Rapisardi ist ein erfahrener Cybersicherheitsexperte mit fundierten Kenntnissen im Bereich der Absicherung geschäftskritischer Systeme. Dank seiner Fachkenntnisse im Schwachstellenmanagement und in der Sicherheitsforschung hat er maßgeblich dazu beigetragen, Unternehmensumgebungen vor neuen Bedrohungen zu schützen. Julian ist bekannt für seine analytische Herangehensweise und seine Fähigkeit, innovative Lösungen zu entwickeln, die die Sicherheitslage von Organisationen verbessern, was ihn zu einem wertvollen Mitwirkenden bei Cybersicherheitsmaßnahmen macht.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen