Die 10 größten SAP-Sicherheitslücken im Jahr 2020, geordnet nach CVSS-Score

CVSS-Bewertung

Wie in unserem jüngsten Blogbeitrag erläutert, ist CVSS ein Bewertungssystem, mit dem einer Sicherheitslücke ein Wert zugewiesen wird. CVSS berücksichtigt nicht nur die potenziellen Auswirkungen einer Sicherheitslücke, sondern auch die Ausnutzbarkeit sowie einige weitere Faktoren. Wenn es beispielsweise zwei ansonsten gleichwertige Schwachstellen gibt, die Root-Zugriff auf ein System ermöglichen, aber eine davon physischen Zugriff auf das Zielsystem erfordert, während die andere per Fernzugriff über das Netzwerk ausgenutzt werden kann, wird die Fernausnutzung als schwerwiegender eingestuft , da sie einfacher zu bewerkstelligen ist. Die Bewertungen reichen von 1,0 bis 10,0. Für einen genaueren Einblick in CVSS lesen Sie bitte unseren vorherigen Beitrag. 

Ein kurzer Überblick über SAP-Sicherheitslücken im ersten Halbjahr 2020

Zwischen Januar und Juni 2020 wurden von SAP insgesamt 123 Sicherheitslücken mit CVSS-Werten zwischen 2,7 und 10,0 bekannt gegeben. Insgesamt waren 88 SAP-Komponenten betroffen. 

Die Top-10-Liste 

Nachfolgend sind die 10 Schwachstellen mit der höchsten Bewertung aus dem ersten Halbjahr 2020 aufgeführt. Die Hälfte davon wurde von Onapsis Research Labs entdeckt, darunter auch die schwerwiegendste.

Die Schwachstellen

#10 Sicherheitslücke durch Verzeichnisüberquerung in SAP NetWeaver
SAP-Sicherheitshinweis: 2896682
CVE: CVE-2020-6225
CVSS-Score: 9,1
Betroffene Komponente: SAP NetWeaver (Knowledge Management)

Zusammenfassung: Dies ist der zweite Patch, den SAP in Zusammenarbeit mit Onapsis Research Labs entwickelt hat. Die zugrunde liegende Sicherheitslücke ermöglicht einen Pfadtraversal in SAP NetWeaver Knowledge Management, einem zentralen Zugriffspunkt für verteilte Dateirepositorys im gesamten System. Sie ermöglicht es Benutzern, durch Ordner zu navigieren, Dateien zu erstellen und zu löschen usw. Zu diesen Funktionen gehört auch die Möglichkeit für Benutzer, Dateien hochzuladen. 

Ohne Patch: Das System überprüft Eingaben nicht ausreichend und ermöglicht es einem potenziellen Angreifer daher möglicherweise, beliebige Dateien auf dem Remote-Server zu überschreiben, zu löschen oder zu beschädigen.

#9 Code-Injection in SAP Adaptive Server Enterprise
SAP-Sicherheitshinweis: 2917275
CVE: CVE-2020-6248
CVSS-Score: 9,1
Betroffene Komponente: SAP Adaptive Server Enterprise (Backup-Server)

Zusammenfassung: Der SAP Adaptive Server Enterprise (ASE) Backup Server führt bei den Befehlen „DUMP“ oder „LOAD“ keine ordnungsgemäßen Authentifizierungsprüfungen für einen Benutzer durch. 

Ohne Patch: Bei Ausnutzung ermöglicht dies die Ausführung von beliebigem Code oder Code-Injection.

#8 Sicherheitslücke durch fehlende XML-Validierung in SAP Commerce
SAP-Sicherheitshinweis: 2904480
CVE: CVE-2020-6238
CVSS-Score: 9,3
Betroffene Komponente: SAP Commerce / SAP Hybris

Zusammenfassung: SAP Hybris ist eine Java-basierte platform unter anderem Lösungen für den B2B- und B2C-Handel platform . Diese Sicherheitslücke ist in SAP Hybris in der Standardkonfiguration vorhanden und kann von einem nicht authentifizierten Angreifer aus der Ferne ausgenutzt werden. SAP hat Patches sowohl für SAP Hybris On-Premise als auch für SAP Commerce Cloud bereitgestellt.

Ohne Patch: Ein Angreifer könnte vertrauliche Dateien und Daten aus dem System auslesen und in bestimmten Fällen die Verfügbarkeit beeinträchtigen. 

#7 Fehlende Authentifizierungsprüfung im SAP Solution Manager
SAP-Sicherheitshinweis: 2845377
CVE: CVE-2020-6198
CVSS-Score: 9,8
Betroffene Komponente: SAP Solution Manager (Diagnostics Agent)

Zusammenfassung: Dieser Patch ist Teil einer Reihe miteinander verbundener Sicherheitslücken, die vom Onapsis-Forscher Yvan Genuer gemeldet wurden und für die SAP seit Juli 2019 Patches bereitstellt. Dieser Patch behebt die kritischste Sicherheitslücke der Reihe, bei der eine Schwachstelle im SMDAgent es einem Angreifer ermöglicht, die Authentifizierung zu umgehen und sensible Aktionen innerhalb des Diagnostics Agent auszuführen.

Falls nicht gepatcht: Durch Ausnutzung dieser Schwachstelle kann ein Angreifer die Authentifizierung umgehen. Das bedeutet, dass der Angriff von jeder Person mit Netzwerkzugang ausgeführt werden kann, ohne dass ein gültiger Benutzer im SolMan-System erforderlich ist. SMDAgent ist eine technische Komponente, die nicht direkt mit sensiblen Geschäftsdaten umgeht. Diese Schwachstelle ermöglicht es einem Angreifer jedoch, sensible Aktionen durchzuführen, wie z. B. das System anzuhalten (Verfügbarkeit), das Verhalten der Anwendung zu verändern (Integrität) oder auf sensible Informationen zuzugreifen.

#6 Sicherheitsupdates für das Control Chromium“, das mit dem SAP Business Client bereitgestellt wird
SAP-Sicherheitshinweis: 2622660
CVE: N/A
CVSS-Score: 9,8
Betroffene Komponente: Control Google Chromium) im SAP Business Client

Zusammenfassung: Dieser Patch behebt eine Reihe von Sicherheitslücken im control eines Drittanbieters, das im SAP Business Client verwendet werden kann. Ab SAP Business Client 6.5 PL5 besteht die Möglichkeit, Chromium als control die Anzeige von HTML-Inhalten im SAP Business Client zu nutzen. Je nach control kann dies Sicherheitslücken und andere Sicherheitsprobleme mit sich bringen, die mit diesem Browser – in diesem Fall Chromium – zusammenhängen. Updates für den SAP Business Client beinhalten Sicherheits- und Stabilitätsupdates für Browser-Steuerelemente.Weitere Informationen zur Chromium-Sicherheitsrichtlinie finden Siehier.

Falls nicht gepatcht: Erfolgreiche Angriffe können zur Offenlegung von Informationen, zu einem Systemabsturz (Verfügbarkeit) und zum Diebstahl sensibler Daten führen. Die während eines Angriffs gesammelten Informationen können dazu genutzt werden, in Zukunft noch raffiniertere Angriffe zu starten. 

#5 Fehlende Authentifizierungsprüfung in der SAP Business Objects Business Intelligence Platform
SAP-Sicherheitshinweis: 2885244
CVE: CVE-2020-6242
CVSS-Bewertung: 9,8
Betroffene Komponente: Business Objects Business Intelligence Platform Live Data Connect)

Zusammenfassung: Bei der SAML-Authentifizierung werden digitale Zertifikate als Teil des Benutzerauthentifizierungsprozesses verwendet. Diese Sicherheitslücke entsteht dadurch, dass das Zertifikat die Platform nicht schützt, wodurch eine passwortlose Anmeldung an der zentralen Verwaltungskonsole möglich ist. 

Ohne Patch: Mit Zugriff auf die zentrale Verwaltungskonsole könnte ein Angreifer vertrauliche Informationen einsehen, ändern oder löschen, auf privilegierte Administrationsbereiche zugreifen und möglicherweise den Dienst zum Absturz bringen, wodurch die Verfügbarkeit beeinträchtigt würde. 

#4 Verwendung fest codierter Anmeldedaten in SAP Commerce und SAP Commerce Data Hub
SAP-Sicherheitshinweis: 2918924
CVE: CVE-2020-6265
CVSS-Bewertung: 9,8
Betroffene Komponente: SAP Commerce und SAP Commerce Data Hub

Zusammenfassung: Dieses Problem tritt leider bei vielen Softwareprodukten auf, da diese häufig integrierte Konten mit öffentlich bekannten Passwörtern verwenden und die Administratoren nicht dazu verpflichten, diese Passwörter während oder nach der Installation zu ändern. So kennt beispielsweise jeder SAP-Basis-Mitarbeiter die Inhaber der Passwörter „6071992“ oder „admin“. Nach dem Auftragen des Patches wird bei einer Neuinstallation von SAP Commerce nur noch das integrierte „admin“-Konto aktiviert. Der Installateur ist gezwungen, ein Initialpasswort für dieses Konto zu verwalten. Andere integrierte Benutzer werden während der Installation weiterhin angelegt, sind jedoch inaktiv, bis ein individuelles Passwort für diese Konten festgelegt wird. Die letztgenannte Regel gilt auch für alle integrierten Benutzer von SAP Commerce Data Hub.

Wichtiger Hinweis: Dieser Patch entfernt keine Standardpasswörter aus den integrierten Konten bestehender Installationen. Als eine Möglichkeit, dies zu erreichen, wird in dem Hinweis vorgeschlagen, die SAP-Commerce-Installation nach dem Anwenden des Patches neu zu initialisieren – eine Option, die für die meisten Kunden wahrscheinlich nicht in Frage kommt. Daher enthält der Hinweis auch eine Anleitung zum Deaktivieren aller Standardpasswörter für Benutzer, um die Standardpasswörter aus allen integrierten Konten zu entfernen.

Falls nicht gepatcht: Ein Angreifer, der die Standard-Anmeldedaten kennt, könnte diese nutzen, um sich unbemerkt anzumelden, wodurch Ressourcen oder Funktionen für unbefugte Benutzer zugänglich werden und ein Angreifer möglicherweise beliebigen Code ausführen kann. 

#3 „Ghostcat“ – Apache Tomcat AJP-Sicherheitslücke in SAP Liquidity Management für das Bankwesen
SAP-Sicherheitshinweis: 2928570
CVE: CVE-2020-1938
CVSS-Score: 9,8
Betroffene Komponente: Apache Tomcat (in SAP Liquidity Management)

Zusammenfassung: Aufgrund einer bekannten Sicherheitslücke in Apache Tomcat, die als „Ghostcat“ bezeichnet wird, empfiehlt SAP dringend, alle Ports zu deaktivieren, die das Apache JServ-Protokoll (AJP-Protokoll) verwenden. Falls Kunden das AJP-Protokoll in ihrem Anwendungsfall unbedingt benötigen, empfiehlt der Hinweis, das erforderliche „secret“-Attribut in der Konfiguration des AJP-Konnektors festzulegen.

Ohne Patch: Zumindest ist eine Remote-Code-Ausführung möglich; der SAP-Hinweis weist jedoch darauf hin, dass „AJP-Verbindungen … auf überraschende Weise ausgenutzt werden können.“

#2 Sicherheitslücke durch Code-Injektion im Service Data Download
SAP-Sicherheitshinweis: 2835979
CVE: CVE-2020-6262
CVSS-Score: 9,9
Betroffene Komponente: Service Data Download (Solution Manager-Plugin)

Zusammenfassung: Aufgrund unzureichender Eingabevalidierung in einem remote-fähigen Funktionsbaustein, der dynamisch Code generiert, kann ein Angreifer control vollständige control jedes SAP NetWeaver ABAP-System erlangen, das mit einem Solution Manager (SolMan)-System verbunden ist. Lediglich die Tatsache, dass ein Angreifer ein Mindestmaß an Berechtigungen benötigt, um diese Schwachstelle auszunutzen, hat verhindert, dass ihr ein CVSS-Wert von 10,0 zugewiesen wurde.

Falls nicht gepatcht: Ein erfolgreicher Angriff auf diese Sicherheitslücke könnte zur unbefugten Ausführung von Befehlen, zur Offenlegung vertraulicher oder sensibler Informationen sowie zu einem Denial-of-Service (Verfügbarkeitsausfall) führen.

#1 Fehlende Authentifizierungsprüfung im SAP Solution Manager
SAP-Sicherheitshinweis: 2890213
CVE: CVE-2020-6207
CVSS-Score: 10,0
Betroffene Komponente: Solution Manager

Zusammenfassung: Ein kritischer Fehler, der von Forschern von Onapsis (Pablo Artuso und Yvan Genuer) gemeldet wurde. Diese Schwachstelle wurde mit einem CVSS-Wert von 10,0 bewertet, dem höchsten Wert nach diesem Standard, da ihr Angriffsvektor unter anderem eine geringe Angriffskomplexität (AC), keine erforderlichen Berechtigungen (PR), einen veränderten Wirkungsbereich (S) sowie hohe Auswirkungen auf Vertraulichkeit (C), Integrität (I) und Verfügbarkeit (A) umfasst. Wenn ein SAP-Kunde die Funktionen von SolMan voll ausschöpfen möchte, muss er auf jedem Host, auf dem ein SAP-System läuft, eine Anwendung namens Solution Manager Diagnostic Agent (SMDAgent) installieren. Dieser Agent verwaltet die Kommunikation, die Instanzüberwachung und das Diagnose-Feedback an SolMan. Das Onapsis-Forschungsteam stellte fest, dass in Standardkonfigurationen ein nicht authentifizierter Angreifer aus der Ferne in der Lage sein könnte, Betriebssystembefehle als SMDAgent-OS-Benutzer auf dem System jedes Satelliten auszuführen und vollständige Berechtigungen auf den zugehörigen SAP-Systemen zu erlangen. 

Falls nicht gepatcht: Vollständige Kompromittierung aller mit dem Solution Manager verbundenen SMDAgents, einschließlich der Ausführung von Befehlen auf Betriebssystemebene auf jedem Satellitensystem.

Das Wichtigste in Kürze

Rein unter dem Gesichtspunkt des CVSS-Schweregrads wiesen über 10 % der 123 SAP-Sicherheitslücken, die im ersten Halbjahr 2020 bekannt wurden, einen Wert von 9,0 oder höher auf. Sicherheitslücken mit hohen CVSS-Basiswerten lassen sich in der Regel mit geringem Aufwand ausnutzen, während die Folgen schwerwiegend sind.

Drei der schwerwiegendsten Sicherheitslücken betrafen entweder SolMan selbst, ein Plugin oder eine andere Komponente dafür. Da SolMan ein zentrales Verwaltungstool für alle SAP- und Nicht-SAP-Systeme innerhalb einer Landschaft ist, sind die Folgen einer Ausnutzung dieser Schwachstellen weitreichend.

Sicherheitslücken, die eine passwortlose Authentifizierung ermöglichen oder Standardzugangsdaten ausnutzen, sind oft schwer zu erkennen, da sie bestehende Benutzer innerhalb des SAP-Systems nutzen. Je nach den durchgeführten Aktionen und der Angriffsmethode erscheinen die Anzeichen für den Angriff unter Umständen nicht auffällig.

Mit Blick auf die zweite Jahreshälfte 2020 starten wir bereits mit einer neuen Sicherheitslücke namens RECON (Remotely Exploitable Code On NetWeaver), die die maximale CVSS-Bewertung von 10,0 aufweist und mit einer Warnung des US-CERT einhergeht.

Da die Erkennung einiger dieser Schwachstellen schwierig ist und ein erfolgreicher Angriff potenziell schwerwiegende geschäftliche Folgen haben kann, ist ein umfassenderer Schutz erforderlich, um den Kern Ihres Unternehmens zu sichern. Fordern Sie eine kostenlose Cyber-Risikobewertung von Onapsis an, um Einblicke in Schwachstellen und Fehlkonfigurationen in Ihrer Umgebung zu erhalten, die Ihr Unternehmen gefährden.

Weitere Ressourcen zur SAP-Sicherheit

• Webinar:So schützen Sie Ihre geschäftskritischen SAP-Anwendungen vor moderner Ransomware
• Whitepaper:Abwehr der Bedrohung durch Ransomware für geschäftskritische SAP-Anwendungen
• Whitepaper:Aktuelle Cyberangriffe auf geschäftskritische SAP-Anwendungen