SAP schließt im März 28 kritische Lecks

SAP veröffentlicht insgesat 28 Updates sowie Support Packages Notes. teilweise werden damit auch ältere Updates aktualisiert. Drei Updates haben eine hohe Priorität und 2 hat SAP mit dem Raiting Hot News versehen. Die schwerste Sicherheitslücke hat eine CVSS-Bewertung von 9.0 von insgesat 10 möglichen Punkten.

Die meisten Verwundbarkeiten liegen in der SAP-Java-Anwendungssicherheit der häufigste Fehler-Typ sind Cross-Site-Scripting- und Information Disclosure-Lecks.

XSS-Lecks entstehen dann, wenn Webseiten ungeprüft Daten übernehmen. Hacker können dann die Session eines Nutzers übernehmen. Allerdings sind XSS-Lecks nicht nur in diesem Monat das häufigste Leck in SAP-Anwendungen und Produkten, wie es in einem Blog von ERPScan heißt. So machen XSS-Lecks mehr als 20 Prozent der in den zurückliegenden sechs Jahren entdeckten Lecks aus. In vielen Fällen sind davon aber nicht die SAP-Software-Proukte selbst, sondern die SAP-Server von diesen Verbundbarkeiten betroffen. Wie sich Anwender gegen diese Lecks am besten Wappnen können, zeigt das Unternehmen in einem PDF-Dokument.

Das schwerwiegendste Sicherheitsleck (CVSS: 9.0) aber behebt SAP mit dem Update ‘2260344’. Die SAP SCTC_* Function Modules können über das Leck Betriebssystem-Befehle ausführen und diese Befehle werden mit den gleichen Berechtigungen wie der betreffende Service ausgeführt. Darüber kann ein Angreifer auf beliebige Dateien und Ordner in einem SAP-Server-Dateisystem zugreifen und damit auch sensible Informationen abgreifen.

Das Leck 2037304 behebt einen Implementierungs-Fehler im SAP SDCC Download Function Module und wird mit einem CVSS Base Score von 8.5 bewertet. Der Fehler kann zu unerwartetem Verhalten des Systems führen und auch Sicherheit und Stabilität gefährden.

Weitere Lecks liegen unter anderem im SAP Configuration Wizard (SAP Security Note 2235994/CVSS: 6.4), über den ein Angreifer unautorisierten Zugriff auf das Dateisystem des Betriebssystems bekommt, oder die XSS-Lücke im SAP NavigationURLTester (2238375/CVSS: 6.1). Über das Leck kann ein Angreifer ein bösartiges Script auf eine Seite injizieren. Gleiches gilt für das Advisory 2238765 (CVSS: 6.1).

SAP und Sicherheitshersteller wie ERPScan raten die Updates von SAP schnell einzuspielen. SAP verfolgt bei der Sicherheit den Dreisprung Prevent, Detect und React. Prevent bedeutet, dass bereits bei der Entwicklung umfangreiche Initiativen für die Absicherung der Software getroffen werden. Das beinhaltet auch Tests von “Hackern”, die versuchen, Schwachstellen in den Produkten aufzuspüren, wie Holger Mack SAP Security Lead HANA im Gespchräch mit silicon.de erklärte. Bei Detect sei SAP auch auf die Hilfe der Anwender und von externen Sicherheitsdienstleistern angewiesen.

In Absprache mit Anbietern wie ERPScan oder Onapsis werden jedoch die Informationen zu Sicherheitslecks erst dann veröffentlicht, wenn SAP einen Patch liefern kann. Ob SAP darin einen Konkurrenz zu den eigenen Angeboten sieht, zumal das Unternehmen mit der SAP Security Suite selbst ein entsprechendes Angebot hat? Mack erklärt: “Diese Unternehmen haben das gleiche Interesse wie wir: Den Kunden sichere Anwendungen zur Verfügung zu stellen.”

Seit Ende Februar hat SAP auch einen Chief Security Officer. Justin Somaini wolle das Thema Sicherheit “ganzheitlich” betrachten.

Tipp: Was wissen Sie über SAP? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de