SAP schließt 36 Lecks in verschiedenen Produkten

SAP schließt am Patchday für den Juli insgesamt 36 Sicherheitslecks in verschiedenen Produkten. Viele der Updates beheben Clickjacking-Lecks. Auffällig ist, dass SAP in der gesamten Produkthistorie erst zwei Patches für diese Art von Sicherheitslücke veröffentlicht hat. Der höchste CVSS-Wert für den Patchday im Juli liegt bei 9.9.

Des weiteren schließt das Walldorfer Unternehmen auch einige Lecks, die vor allem Energieversorger betreffen, die ein branchenspezifisches Modul verwenden. Ein weiteres Leck lässt sich zudem Remote ausnutzen. Ein weiteres Leck erlaubt die Suche nach verwundbaren Diensten, wie etwa Adobe Interactive Forms.

Das Clickjacking wurde bereits 2008 entdeckt. Ein Angreifer kann dabei Klicks von Nutzern kapern, indem er verschiede transparente oder verborgene Layer verwendet. So werden Nutzer dazu gebracht, auf einen Button oder Link zu klicken, obwohl diese eigentlich an anderer Stelle eine Eingabe machen wollen.

Vor allem im Web-Umfeld ist das eine gebräuchliche Attacke. Für Hersteller ist es eigentlich nicht schwierig, diese Art von Angriffsvektor zu neutralisieren. SAP hat in den Jahren 2001 bis 2015 laut Informationen von ERPScan lediglich zwei Patches für Clickjacking veröffentlicht. Zum aktuellen Patchday aber entfallen ganze 24 Updates auf das Clickjacking.

Das Leck mit der höchsten Gefährdung ist mit einem CVSS Base Score von 9.9 von maximal 10 das Update 2301837, das eine Code Injection Vulnerability im SAP Solution Manager schließt. Angreifer könnten darüber Code einschleusen oder auch Informationen abgreifen, Daten ändern oder löschen, den System-Output verändern oder selbst neue Nutzer mit höheren Berechtigungen anlegen. Auch können Angreifer darüber die Kontrolle über das Verhalten des Systems bekommen, ihre Rechte ausweiten oder eine DoS-Attacke starten.

Das Update 2245398 verhindert ein Java Deserialization-Leck mit einem CVSS Base Score von 7.3. Eigentlich hatte SAP dieses Leck in den Adobe Interactive Forms bereits im November 2015 geschlossen. Allerdings hatte das Leck lediglich eine Remote-Code-Execution verhindert. Mit dem aktuellen Patch hat SAP nun auch weitere Schlupflöcher geschlossen. Angreifer konnten den betreffenden Java-Dienst über eine einfache Google-Suche aufstöbern.

Update 2330839 behebt ein Denial-of-Service-Leck in Sybase mit einem Base Score von 7.5. So kann ein Angreifer über die verwundbare Komponente den Service zum Absturz bringen, was zur Folge hat, dass niemand auf diesen Service zugreifen kann, was sich schließlich auch auf andere Business-Prozesse auswirkt.

Das Update 2321240 mit einem Base Score von 5.5 schließt ein Leck in HANA Enterprise. Darüber konnte ein Angreifer ohne Anmeldung einen Service nutzen, der eigentlich nur für angemeldete Nutzer verfügbar sein sollte. Der Angreifer kann darüber Informationen ergattern, seine Rechte ausweiten und andere Angriffe starten.

Update 2339506 behebt ein Clickjacking-Leck im SAP Utility Customer E-Services Modul, einem Web-Modul, das in dem SAP NetWeaver AS Java installiert ist. Auch in diesem Fall kann ein Angreifer auf den Dienst über das Internet zugreifen. Dieses Modul ist zwar nicht im SAP-Standard enthalten, wird aber bei Energieversorgern gerne verwendet. Die Sicherheitsforscher von ERPScan schätzen, dass rund 2200 Unternehmen dieses SAP-Modul einsetzen.