Share
Beitragsbild zu SAP-Patchtag: Februar 2024

SAP-Patchtag: Februar 2024

Onapsis Research Labs unterstützte SAP beim Patchen einer kritischen Code-Injection-Schwachstelle in SAP Application Basis (SAP_ABA).

Zu den Höhepunkten der Analyse der SAP-Sicherheitshinweise im Februar gehören:

  • Februar-Zusammenfassung Sechzehn neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter zwei HotNews Hinweis und sechs Hohe Priorität Notizen.
  • Kritische Sicherheitslücke durch Code-Injection RFC-fähiger Funktionsbaustein ermöglicht generische Methodenaufrufe.
  • Beitrag von Onapsis Research Labs Unser Team unterstützte SAP beim Patchen eines HotNews und ein Hohe Priorität Hinweis.

SAP hat am Februar-Patchday sechzehn SAP-Sicherheitshinweise veröffentlicht (einschließlich der Hinweise, die seit dem letzten Patch-Dienstag veröffentlicht oder aktualisiert wurden). XNUMX HotNews Notizen und sechs High Priority Notizen.

Einer der Beiden HotNews Hinweis im Februar ist der periodisch wiederkehrende SAP-Sicherheitshinweis #2622660 das die neuesten Chromium-Schwachstellen für SAP Business Client behebt. Es behebt dreiunddreißig Chromium-Schwachstellen, darunter sechsundzwanzig Hohe PrioritätY-Patches. Der maximale CVSS-Score aller behobenen Schwachstellen beträgt 8.8.

Hohe Priorität Note #3385711, gekennzeichnet mit einem CVSS-Score von 7.3, behebt eine Schwachstelle im Bereich Information Disclosure im SAP NetWeaver Application Server ABAP. Der Hinweis wurde ursprünglich im Dezember 2023 veröffentlicht und an diesem Februar-Patchday aktualisiert. Das Update liefert genauere Informationen zur gepatchten Schwachstelle.

The New HotNews Hinweis im Detail

SAP-Sicherheitshinweis #3420923, gekennzeichnet mit einem CVSS-Score von 9.1, ist die einzige Neuerung HotNews Notiz. Es behebt eine kritische Code-Injection-Schwachstelle in der anwendungsübergreifenden Komponente SAP_ABA.

Die Onapsis-Forschungslabore festgestellt, dass die Web Survey-Funktion in SAP ein RFC-fähiges Funktionsmodul bereitstellt, das den dynamischen Aufruf jeder statischen Methode des Systems ohne Prüfung einer bestimmten Autorisierung ermöglicht. Ein externer Aufruf des Funktionsbausteins ist nur durch die implizite S_RFC-Prüfung geschützt. Der Hinweis behebt diese Schwachstelle, indem er eine zusätzliche (konfigurierbare) Prüfung bereitstellt, wann immer der Funktionsbaustein von extern aufgerufen wird. Diese neue Prüfung ist standardmäßig aktiviert und erlaubt keine externen Aufrufe des Funktionsbausteins. Wenn Kunden die Remote-Funktionen der Web Survey-Funktion nutzen möchten, können sie die Konfiguration der Prüfung anpassen. Details zur Konfiguration finden Sie im Knowledge Base-Artikel #3415038.

The New Hohe Priorität Hinweise im Detail

SAP-Sicherheitshinweis #3417627, gekennzeichnet mit einem CVSS-Score von 8.8, behebt eine Cross-Site-Scripting-Schwachstelle in der Benutzerverwaltungsanwendung von SAP NetWeaver AS Java. Eingehende URL-Parameter werden nicht ausreichend validiert und falsch codiert, bevor sie in Weiterleitungs-URLs aufgenommen werden. Dies kann zu einer Cross-Site Scripting (XSS)-Schwachstelle führen, die große Auswirkungen auf die Vertraulichkeit und geringe Auswirkungen auf Integrität und Verfügbarkeit hat.

SAP-Sicherheitshinweis #3426111, gekennzeichnet mit einem CVSS-Score von 8.6, ist die zweite Notiz des Februar-Patch-Days von SAP, die im Rahmen des Beitrags mit gepatcht wurde Onapsis Research Labs (ORL). Der Hinweis behebt eine XML External Entity (XEE)-Injection-Schwachstelle in der Guided Procedures-Komponente von SAP NetWeaver AS Java. Die Sicherheitslücke ermöglicht es einem nicht authentifizierten Angreifer, eine böswillige Anfrage mit einer manipulierten XML-Datei über das Netzwerk zu senden, die ihm nach der Analyse Lesezugriff auf vertrauliche Dateien und Daten ermöglicht. Der Patch beinhaltet eine restriktivere Konfiguration des beteiligten XML-Parsers, die keine externen Entitäten als Teil eines eingehenden XML-Dokuments zulässt. Wenn diese Schwachstelle nicht gepatcht wird, ist die Vertraulichkeit des Systems stark gefährdet.

Eine Cross-Site-Scripting-Schwachstelle wurde mit SAP Security gepatcht #3410875, markiert mit einem CVSS-Score von 7.6. Die Sicherheitslücke besteht in der Option „Druckvorschau“ im SAP CRM WebClient UI und wird durch eine unzureichende Kodierung benutzergesteuerter Eingaben verursacht. Ein Angreifer mit geringen Berechtigungen kann nach erfolgreicher Ausnutzung nur begrenzte Auswirkungen auf die Vertraulichkeit und Integrität der Anwendungsdaten haben.

Hohe Priorität Note #3424610, getaggt mit einem CVSS-Score von 7.4, behebt eine Schwachstelle durch fehlerhafte Zertifikatsvalidierung in SAP Cloud Connector. Die Sicherheitslücke ermöglicht es einem Angreifer, sich als Server auszugeben, die mit dem Cloud-Connector interagieren und die gegenseitige Authentifizierung unterbrechen. Bei einem erfolgreichen Exploit kann ein Angreifer Anfragen zum Anzeigen und Ändern vertraulicher Informationen abfangen, was erhebliche Auswirkungen auf die Vertraulichkeit und Integrität des Systems hat.

SAP-Sicherheitshinweis #3421659, gekennzeichnet mit einem CVSS-Score von 7.4, betrifft nur SAP IDES-Systeme. Der Patch löscht ein Programm, das die Ausführung beliebigen Programmcodes ermöglicht. Ein Angreifer kann mit dem Programm das Verhalten des Systems steuern, indem er Schadcode ausführt.

Feedback zum Onapsis-Blogbeitrag zum Januar-Patchday
In meinem Januar-Blogbeitrag habe ich über den SAP-Sicherheitshinweis geschrieben #3407617 mit folgender Aussage:

Es ist möglich, dass wir in naher Zukunft mit einer Aktualisierung dieses Hinweises rechnen können, da die Lösung unvollständig zu sein scheint.“

Wir hatten die Gelegenheit, den Hintergrund dieses speziellen Hinweises mit dem SAP Product Security Response Team und dem verantwortlichen Entwickler zu klären. Sie erklärten transparent die Gründe und erklärten, dass mit dem Patch keine Code-Korrektur verbunden sei. Daher ist keine Aktualisierung der Notiz erforderlich. Aus Sicherheitsgründen wurden im Sicherheitshinweis nicht die gleichen detaillierten Informationen bereitgestellt.

Zusammenfassung und Schlussfolgerungen

Mit sechzehn Sicherheitshinweisen ist der Februar-Patchday von SAP durchschnittlich. Die Onapsis Research Labs konnten SAP erneut beim Patchen von zwei der kritischsten Schwachstellen dieses Patch Days unterstützen. Besonderer Dank geht an das SAP Product Response-Team, das uns bei der Klärung des Hintergrunds des SAP-Sicherheitshinweises unterstützt hat #3407617.

SAP-Hinweis Art Beschreibung Priorität CVSS
3404025 Neu [CVE-2024-22129] Cross-Site Scripting (XSS)-Schwachstelle in SAP Companion
KM-SEN-CMP
Medium 5,4
2897391 Neu [CVE-2024-24741] Fehlende Berechtigungsprüfung im SAP Master Data Governance-Material
CA-MDG-APP-MM
Medium 4,3
3417627 Neu [CVE-2024-22126] Cross-Site-Scripting-Schwachstelle in NetWeaver AS Java (Benutzerverwaltungsanwendung)
BC-JAS-SEC-UME
High 8,8
3410875 Neu [CVE-2024-22130] Cross-Site Scripting (XSS)-Schwachstelle in SAP CRM (WebClient UI)
CA-WUI-UI
High 7,6
3396109 Neu [CVE-2024-22128] Cross-Site Scripting (XSS)-Schwachstelle im SAP NetWeaver Business Client für HTML
BC-FES-BUS
Medium 4,7
3158455 Neu [CVE-2024-24742] Cross-Site Scripting (XSS)-Schwachstelle in SAP CRM (WebClient UI)
CA-WUI-WKB
Medium 4,1
2637727 Neu [CVE-2024-24739] Fehlende Berechtigungsprüfung in SAP Bank Account Management
FIN-FSCM-CLM
Medium 6,3
3360827 Neu [CVE-2024-24740] Sicherheitslücke bezüglich der Offenlegung von Informationen im SAP NetWeaver Application Server ABAP (SAP Kernel)
BC-FES-ITS
Medium 5,3
3421659 Neu [CVE-2024-22132] Code-Injection-Schwachstelle in SAP IDES-Systemen
XX-IDES
High 7,4
3420923 Neu [CVE-2024-22131] Code-Injection-Schwachstelle in SAP ABA (Application Basis)
CA-SUR
HotNews 9,1
3237638 Neu [CVE-2024-25643] Fehlende Berechtigungsprüfung in der SAP-Fiori-App („Meine Überstundenanträge“)
PA-FIO-OVT
Medium 4,3
2622660 Aktualisierung Sicherheitsupdates für die Browsersteuerung Google Chromium, die mit dem SAP Business Client ausgeliefert werden
BC-FES-BUS-DSK
HotNews 10,0
3426111 Neu [CVE-2024-24743] XXE-Schwachstelle in SAP NetWeaver AS Java (Guided Procedures)
BC-GP
High 8,6
3424610 Neu [CVE-2024-25642] Unsachgemäße Zertifikatsvalidierung im SAP Cloud Connector
BC-MID-SCC
High 7,4
3385711 Aktualisierung [CVE-2023-49580] Sicherheitslücke bezüglich der Offenlegung von Informationen im SAP NetWeaver Application Server ABAP
BC-FES-WGU
High 7,3
3363690 Aktualisierung [CVE-2023-49058] Directory-Traversal-Schwachstelle in SAP Master Data Governance
CA-MDG-ML
Sneaker 3,5

Wie immer werden die Onapsis Research Labs bereits aktualisiert Die Onapsis-Plattform die neu veröffentlichten Schwachstellen in das Produkt zu integrieren, damit unsere Kunden ihr Unternehmen schützen können.

Für weitere Informationen zu den neuesten SAP-Sicherheitsproblemen und unseren kontinuierlichen Bemühungen, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen Newsletter Defender’s Digest Onapsis-Newsletter.

By Thomas Fritsch

Source: Onapsis-Blog

Sie haben Fragen? Ihr Ansprechpartner für D/A/CH

Do you have any questions? Your contact person for D/A/CH

Thomas Fritsch, Onapsis

Firma zum Thema

onapsis