Onapsis Research Labs unterstützte SAP beim Patchen einer kritischen Code-Injection-Schwachstelle in SAP Application Basis (SAP_ABA).
Zu den Höhepunkten der Analyse der SAP-Sicherheitshinweise im Februar gehören:
- Februar-Zusammenfassung – Sechzehn neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter zwei HotNews Hinweis und sechs Hohe Priorität Notizen.
- Kritische Sicherheitslücke durch Code-Injection – RFC-fähiger Funktionsbaustein ermöglicht generische Methodenaufrufe.
- Beitrag von Onapsis Research Labs – Unser Team unterstützte SAP beim Patchen eines HotNews und ein Hohe Priorität Hinweis.
SAP hat am Februar-Patchday sechzehn SAP-Sicherheitshinweise veröffentlicht (einschließlich der Hinweise, die seit dem letzten Patch-Dienstag veröffentlicht oder aktualisiert wurden). XNUMX HotNews Notizen und sechs High Priority Notizen.
Einer der Beiden HotNews Hinweis im Februar ist der periodisch wiederkehrende SAP-Sicherheitshinweis #2622660 das die neuesten Chromium-Schwachstellen für SAP Business Client behebt. Es behebt dreiunddreißig Chromium-Schwachstellen, darunter sechsundzwanzig Hohe PrioritätY-Patches. Der maximale CVSS-Score aller behobenen Schwachstellen beträgt 8.8.
Hohe Priorität Note #3385711, gekennzeichnet mit einem CVSS-Score von 7.3, behebt eine Schwachstelle im Bereich Information Disclosure im SAP NetWeaver Application Server ABAP. Der Hinweis wurde ursprünglich im Dezember 2023 veröffentlicht und an diesem Februar-Patchday aktualisiert. Das Update liefert genauere Informationen zur gepatchten Schwachstelle.
The New HotNews Hinweis im Detail
SAP-Sicherheitshinweis #3420923, gekennzeichnet mit einem CVSS-Score von 9.1, ist die einzige Neuerung HotNews Notiz. Es behebt eine kritische Code-Injection-Schwachstelle in der anwendungsübergreifenden Komponente SAP_ABA.
Die Onapsis-Forschungslabore festgestellt, dass die Web Survey-Funktion in SAP ein RFC-fähiges Funktionsmodul bereitstellt, das den dynamischen Aufruf jeder statischen Methode des Systems ohne Prüfung einer bestimmten Autorisierung ermöglicht. Ein externer Aufruf des Funktionsbausteins ist nur durch die implizite S_RFC-Prüfung geschützt. Der Hinweis behebt diese Schwachstelle, indem er eine zusätzliche (konfigurierbare) Prüfung bereitstellt, wann immer der Funktionsbaustein von extern aufgerufen wird. Diese neue Prüfung ist standardmäßig aktiviert und erlaubt keine externen Aufrufe des Funktionsbausteins. Wenn Kunden die Remote-Funktionen der Web Survey-Funktion nutzen möchten, können sie die Konfiguration der Prüfung anpassen. Details zur Konfiguration finden Sie im Knowledge Base-Artikel #3415038.
The New Hohe Priorität Hinweise im Detail
SAP-Sicherheitshinweis #3417627, gekennzeichnet mit einem CVSS-Score von 8.8, behebt eine Cross-Site-Scripting-Schwachstelle in der Benutzerverwaltungsanwendung von SAP NetWeaver AS Java. Eingehende URL-Parameter werden nicht ausreichend validiert und falsch codiert, bevor sie in Weiterleitungs-URLs aufgenommen werden. Dies kann zu einer Cross-Site Scripting (XSS)-Schwachstelle führen, die große Auswirkungen auf die Vertraulichkeit und geringe Auswirkungen auf Integrität und Verfügbarkeit hat.
SAP-Sicherheitshinweis #3426111, gekennzeichnet mit einem CVSS-Score von 8.6, ist die zweite Notiz des Februar-Patch-Days von SAP, die im Rahmen des Beitrags mit gepatcht wurde Onapsis Research Labs (ORL). Der Hinweis behebt eine XML External Entity (XEE)-Injection-Schwachstelle in der Guided Procedures-Komponente von SAP NetWeaver AS Java. Die Sicherheitslücke ermöglicht es einem nicht authentifizierten Angreifer, eine böswillige Anfrage mit einer manipulierten XML-Datei über das Netzwerk zu senden, die ihm nach der Analyse Lesezugriff auf vertrauliche Dateien und Daten ermöglicht. Der Patch beinhaltet eine restriktivere Konfiguration des beteiligten XML-Parsers, die keine externen Entitäten als Teil eines eingehenden XML-Dokuments zulässt. Wenn diese Schwachstelle nicht gepatcht wird, ist die Vertraulichkeit des Systems stark gefährdet.
Eine Cross-Site-Scripting-Schwachstelle wurde mit SAP Security gepatcht #3410875, markiert mit einem CVSS-Score von 7.6. Die Sicherheitslücke besteht in der Option „Druckvorschau“ im SAP CRM WebClient UI und wird durch eine unzureichende Kodierung benutzergesteuerter Eingaben verursacht. Ein Angreifer mit geringen Berechtigungen kann nach erfolgreicher Ausnutzung nur begrenzte Auswirkungen auf die Vertraulichkeit und Integrität der Anwendungsdaten haben.
Hohe Priorität Note #3424610, getaggt mit einem CVSS-Score von 7.4, behebt eine Schwachstelle durch fehlerhafte Zertifikatsvalidierung in SAP Cloud Connector. Die Sicherheitslücke ermöglicht es einem Angreifer, sich als Server auszugeben, die mit dem Cloud-Connector interagieren und die gegenseitige Authentifizierung unterbrechen. Bei einem erfolgreichen Exploit kann ein Angreifer Anfragen zum Anzeigen und Ändern vertraulicher Informationen abfangen, was erhebliche Auswirkungen auf die Vertraulichkeit und Integrität des Systems hat.
SAP-Sicherheitshinweis #3421659, gekennzeichnet mit einem CVSS-Score von 7.4, betrifft nur SAP IDES-Systeme. Der Patch löscht ein Programm, das die Ausführung beliebigen Programmcodes ermöglicht. Ein Angreifer kann mit dem Programm das Verhalten des Systems steuern, indem er Schadcode ausführt.
Feedback zum Onapsis-Blogbeitrag zum Januar-Patchday
In meinem Januar-Blogbeitrag habe ich über den SAP-Sicherheitshinweis geschrieben #3407617 mit folgender Aussage:
„Es ist möglich, dass wir in naher Zukunft mit einer Aktualisierung dieses Hinweises rechnen können, da die Lösung unvollständig zu sein scheint.“
Wir hatten die Gelegenheit, den Hintergrund dieses speziellen Hinweises mit dem SAP Product Security Response Team und dem verantwortlichen Entwickler zu klären. Sie erklärten transparent die Gründe und erklärten, dass mit dem Patch keine Code-Korrektur verbunden sei. Daher ist keine Aktualisierung der Notiz erforderlich. Aus Sicherheitsgründen wurden im Sicherheitshinweis nicht die gleichen detaillierten Informationen bereitgestellt.
Zusammenfassung und Schlussfolgerungen
Mit sechzehn Sicherheitshinweisen ist der Februar-Patchday von SAP durchschnittlich. Die Onapsis Research Labs konnten SAP erneut beim Patchen von zwei der kritischsten Schwachstellen dieses Patch Days unterstützen. Besonderer Dank geht an das SAP Product Response-Team, das uns bei der Klärung des Hintergrunds des SAP-Sicherheitshinweises unterstützt hat #3407617.
SAP-Hinweis | Art | Beschreibung | Priorität | CVSS |
3404025 | Neu | [CVE-2024-22129] Cross-Site Scripting (XSS)-Schwachstelle in SAP Companion KM-SEN-CMP |
Medium | 5,4 |
2897391 | Neu | [CVE-2024-24741] Fehlende Berechtigungsprüfung im SAP Master Data Governance-Material CA-MDG-APP-MM |
Medium | 4,3 |
3417627 | Neu | [CVE-2024-22126] Cross-Site-Scripting-Schwachstelle in NetWeaver AS Java (Benutzerverwaltungsanwendung) BC-JAS-SEC-UME |
High | 8,8 |
3410875 | Neu | [CVE-2024-22130] Cross-Site Scripting (XSS)-Schwachstelle in SAP CRM (WebClient UI) CA-WUI-UI |
High | 7,6 |
3396109 | Neu | [CVE-2024-22128] Cross-Site Scripting (XSS)-Schwachstelle im SAP NetWeaver Business Client für HTML BC-FES-BUS |
Medium | 4,7 |
3158455 | Neu | [CVE-2024-24742] Cross-Site Scripting (XSS)-Schwachstelle in SAP CRM (WebClient UI) CA-WUI-WKB |
Medium | 4,1 |
2637727 | Neu | [CVE-2024-24739] Fehlende Berechtigungsprüfung in SAP Bank Account Management FIN-FSCM-CLM |
Medium | 6,3 |
3360827 | Neu | [CVE-2024-24740] Sicherheitslücke bezüglich der Offenlegung von Informationen im SAP NetWeaver Application Server ABAP (SAP Kernel) BC-FES-ITS |
Medium | 5,3 |
3421659 | Neu | [CVE-2024-22132] Code-Injection-Schwachstelle in SAP IDES-Systemen XX-IDES |
High | 7,4 |
3420923 | Neu | [CVE-2024-22131] Code-Injection-Schwachstelle in SAP ABA (Application Basis) CA-SUR |
HotNews | 9,1 |
3237638 | Neu | [CVE-2024-25643] Fehlende Berechtigungsprüfung in der SAP-Fiori-App („Meine Überstundenanträge“) PA-FIO-OVT |
Medium | 4,3 |
2622660 | Aktualisierung | Sicherheitsupdates für die Browsersteuerung Google Chromium, die mit dem SAP Business Client ausgeliefert werden BC-FES-BUS-DSK |
HotNews | 10,0 |
3426111 | Neu | [CVE-2024-24743] XXE-Schwachstelle in SAP NetWeaver AS Java (Guided Procedures) BC-GP |
High | 8,6 |
3424610 | Neu | [CVE-2024-25642] Unsachgemäße Zertifikatsvalidierung im SAP Cloud Connector BC-MID-SCC |
High | 7,4 |
3385711 | Aktualisierung | [CVE-2023-49580] Sicherheitslücke bezüglich der Offenlegung von Informationen im SAP NetWeaver Application Server ABAP BC-FES-WGU |
High | 7,3 |
3363690 | Aktualisierung | [CVE-2023-49058] Directory-Traversal-Schwachstelle in SAP Master Data Governance CA-MDG-ML |
Sneaker | 3,5 |
Wie immer werden die Onapsis Research Labs bereits aktualisiert Die Onapsis-Plattform die neu veröffentlichten Schwachstellen in das Produkt zu integrieren, damit unsere Kunden ihr Unternehmen schützen können.
Für weitere Informationen zu den neuesten SAP-Sicherheitsproblemen und unseren kontinuierlichen Bemühungen, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen Newsletter Defender’s Digest Onapsis-Newsletter.
Source: Onapsis-Blog
Sie haben Fragen? Ihr Ansprechpartner für D/A/CH
Do you have any questions? Your contact person for D/A/CH