SAP flickt neun kritische und schwerwiegende Bugs

  • Experten raten Unternehmen dringend zu schnellen Patches: SAP-Schwachstellen können innerhalb weniger Stunden zu einer Waffe werden.

    SAP hat 19 neue und aktualisierte Sicherheitspatches veröffentlicht, von denen drei als “HotNews” kritisch und sechs als hochprioritär eingestuft wurden.

    “HotNews” ist der Schweregrad, den SAP für kritische Sicherheitslücken vergibt. Zwei der in diesem Monat veröffentlichten Patches haben einen CVSS-Wert von 9,9 und betreffen SAP Business One und SAP NetWeaver Development Infrastructure.

    SAP-Anwendungen unterstützen Unternehmen bei der Verwaltung kritischer Geschäftsprozesse, darunter Enterprise Resource Planning (ERP), Product Lifecycle Management, Customer Relationship Management (CRM) und Supply-Chain-Management.

    Eine der 9.9er-Schwachstellen ist CVE-2021-33698, ein Problem beim uneingeschränkten Hochladen von Dateien, das SAP Business One betrifft, die Business-Management-Software des deutschen Unternehmens für kleine und mittlere Unternehmen. Die Schwachstelle ermöglicht es einem Angreifer, Dateien, einschließlich bösartiger Skripte, auf den Server hochzuladen.

    Laut Thomas Fritsch, einem SAP-Sicherheitsforscher bei der Sicherheitsfirma Onapsis, wurde die Schwachstelle nur deshalb nicht mit der CVSS-Bestnote 10 bewertet, weil sie nur ein Minimum an Berechtigungen erfordert.

    In seinem Patch Tuesday-Beitrag sagte Fritsch, dass es zum Glück für Kunden, die den entsprechenden Hotfix nicht sofort anwenden können, einen Workaround gibt: “Deaktivieren Sie einfach die betroffene Funktionalität”, so seine Anweisung. Natürlich ist das nur eine schnelle Lösung. Wie immer weist SAP darauf hin, dass der Workaround als vorübergehende Lösung und nicht als Dauerlösung zu betrachten ist.

    SAP beschrieb den zweiten kritischen Sicherheitsfehler, CVE-2021-33690, als eine serverseitige Anforderungsfälschung (SSRF), die NetWeaver Development Infrastructure (SAP NWDI) in einem Servlet des Component Build Service betrifft.

    Laut Onapsis war das Servlet nach außen hin ungeschützt, so dass Angreifer Proxy-Attacken durchführen konnten, indem sie manipulierte Abfragen schickten. Laut Fritsch warnte SAP, dass der Schweregrad der Schwachstelle davon abhängt, ob die Benutzer NWDI im Intranet oder im Internet betreiben. Für diejenigen, die NWDI im Internet betreiben, ist es eine schlechte Nachricht, betonte SAP, da es “sensible Daten, die sich auf dem Server befinden, vollständig kompromittieren und deren Verfügbarkeit beeinträchtigen könnte”, so das Unternehmen in seiner Mitteilung.

    Bei der dritten HotNews-Schwachstelle – CVE-2021-33701 – handelt es sich um eine SQL-Injektion in den SAP NZDT (Near Zero Downtime Technology) Service, der von S/4HANA und dem DMIS Mobile Plug-in verwendet wird. Der CVSS-Schweregrad beträgt 9.1.

    “Das Tool wird von dem entsprechenden NZDT-Service der SAP für zeitoptimierte System-Upgrades und Systemkonvertierungen genutzt”, erklärt Fritsch. “Bei der Nutzung des NZDT-Services wird die Wartung auf einem Klon des Produktivsystems durchgeführt. Alle Änderungen werden aufgezeichnet und nach Abschluss der Wartungsarbeiten auf den Klon übertragen. Während der abschließenden Stillstandszeit werden nur wenige Aktivitäten durchgeführt, darunter ein Wechsel des Produktionssystems auf das neue System (Klon).”

    Auch hier gibt es einen Workaround für Kunden, die den Unified Connectivity (UCON)-Laufzeitcheck aktiviert haben, schreibt er: Weisen Sie den verwendeten remote-fähigen Funktionsbaustein keiner Kommunikationsbaugruppe in UCON zu.

    Vier Bugs mit hohem Schweregrad

    Onapsis lobt Yvan Genuer von den Onapsis Research Labs, der in Zusammenarbeit mit SAP vier Sicherheitslücken in SAP Enterprise Portal geschlossen hat.

    Eine davon war CVE-2021-33702, eine Cross-Site-Scripting (XSS)-Schwachstelle in SAP NetWeaver Enterprise Portal, die von einem der Servlets des Portals verursacht wurde und mit CVSS 8.3 bewertet wurde. Es handelt sich um eine unzureichende Bereinigung, die die Einspeisung von JavaScript in die entsprechende Webseite ermöglicht: ein Problem, das dazu führen kann, dass ein Opfer zu einem infizierten Servlet navigiert und ein anfälliges Skript in seinem Browser ausführt. Die Auswirkung ist hoch, aber eine erfolgreiche Ausnutzung wäre “sehr komplex” und würde eine Benutzerinteraktion erfordern, erklärte Fitsch, was zu einem niedrigeren CVSS-Score führte.

    Das Quartett von Patches mit hohem Schweregrad umfasst eine zweite XSS-Schwachstelle, CVE-2021-33703, die ebenfalls in einem anderen Servlet von SAP NetWeaver Enterprise Portal gefunden und ebenfalls mit CVSS 8.3 bewertet wurde.

    Die dritte hochpriorisierte Korrektur ist CVE-2021-33705. Sie behebt eine SSRF-Schwachstelle (Server-Side Request Forgery) in einer der Design-Time-Komponenten von SAP NetWeaver Enterprise Portal, die es einem nicht authentifizierten Angreifer ermöglichen würde, eine bösartige URL zu erstellen, die jede Art von Anforderung – beispielsweise POST oder GET – an einen beliebigen internen oder externen Server senden könnte, wenn ein Benutzer darauf käme.

    Die vierte Sicherheitslücke, die Onapsis in Zusammenarbeit mit SAP geschlossen hat – CVE-2021-33707 – wurde mit einem CVSS-Score von 6.1 bewertet. Es handelt sich um einen Fehler in der URL-Umleitung in SAP Knowledge Management, der es Angreifern ermöglicht, “Benutzer über eine in einer Komponente gespeicherte URL auf beliebige Websites umzuleiten und Phishing-Angriffe auszuführen”, so Fitsch weiter: Ein Szenario, das Angreifern die Möglichkeit geben würde, “die Vertraulichkeit und Integrität des Benutzers zu gefährden”.

    Weitere kritische Schwachstellen, die am Dienstag behandelt wurden, waren ein Authentifizierungsproblem, das SAP-Systeme betrifft, auf die über einen Web Dispatcher zugegriffen wird, ein Task-Hijacking-Problem in der mobilen App Fiori Client für Android und ein Fehler in der fehlenden Authentifizierung in SAP Business One.

    Letzten Monat = Ruhe, diesen Monat = Sturm

    Angesichts der neun kritischen Patches bezeichnete Fritsch den leichten SAP Patch Tuesday des letzten Monats als “Ruhe vor dem Sturm”. In der Tat, so Fritsch, haben die Patches vom Dienstag dem August die zweifelhafte Ehre eingebracht, “der bemerkenswerteste SAP Patch Day in diesem Jahr” für die Kunden zu sein.

    “Die kleine Gruppe von SAP-Anwendungen, die von einer CVSS 9.9-Schwachstelle im Jahr 2021 betroffen sind, wird nun um SAP Business One und SAP NetWeaver Development Infrastructure erweitert”, so Fritsch.

    Insbesondere Kunden von SAP Enterprise Portal seien gewarnt, da vier Patches für die Anwendung veröffentlicht wurden, von denen drei mit hoher Priorität eingestuft wurden.

    Kritische Schwachstellen in weniger als 72 Stunden ausgenutzt

    Die Unternehmen werden sich hoffentlich schnellstmöglich auf die Patches stürzen, da SAP-Fehler so schnell zu Waffen werden. Ein Bedrohungsbericht von Onapsis und SAP vom April hat ergeben, dass kritische SAP-Schwachstellen “in weniger als 72 Stunden nach der Veröffentlichung eines Patches” in Exploits umgewandelt werden. Noch schlimmer ist es bei neuen, ungeschützten SAP-Anwendungen, die in Cloud-Umgebungen bereitgestellt werden: Sie werden in weniger als drei Stunden entdeckt und kompromittiert, heißt es in der Meldung.

    “Die Bedrohungsakteure sind aktiv, fähig und weit verbreitet”, heißt es in dem Bericht, in dem mehr als 300 automatisierte Angriffe mit sieben SAP-spezifischen Angriffsvektoren und mehr als 100 Hands-on-Keyboard-Sitzungen von einer Vielzahl von Bedrohungsakteuren nachgewiesen werden. Die Unternehmen fanden “eindeutige Beweise für ausgefeiltes Fachwissen, einschließlich der Implementierung von SAP-Patches nach der Kompromittierung”.

    Laut Onapsis und SAP führten die Angreifer eine Reihe von Angriffen durch, darunter Diebstahl sensibler Daten, Finanzbetrug, Unterbrechung unternehmenskritischer Geschäftsprozesse und andere Betriebsstörungen sowie die Verbreitung von Ransomware und anderer Malware.

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/07/27093135/threatpost-webinar-300x51.jpg]Machen Sie sich Sorgen, woher der nächste Angriff kommen könnte? Wir halten Ihnen den Rücken frei. Melden Sie sich JETZT für unser kommendes Live-Webinar “How to Think Like a Threat Actor” an, das in Zusammenarbeit mit Uptycs am 17. August um 11 AM EST stattfindet, und finden Sie heraus, wo genau Angreifer Sie ins Visier nehmen und wie Sie dort zuerst ankommen. Schließen Sie sich der Moderatorin Becky Bracken und den Uptycs-Forschern Amit Malik und Ashwin Vamshi am 17. August um 11 Uhr EST für diese LIVE-Diskussion an.

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/04/06142606/SAP2-e1617733579541.jpg]

    Einige Teile dieses Artikels stammen aus:
    threatpost.com