Kritische Schwachstellen im SAP Diagnostics Agent stellen ein Risiko für SAP-Systeme dar
Die Highlights der Analyse der SAP-Sicherheitshinweise im April sind:
April Zusammenfassung – Vierundzwanzig neue und aktualisierte SAP-Sicherheitspatches wurden veröffentlicht, darunter fünf HotNews-Hinweise und ein Hinweis mit hoher Priorität.
SAP Diagnostics Agent im Fokus – Zwei kritische Sicherheitslücken stellen ein Risiko für die gesamte Systemlandschaft dar
Onapsis Research Labs Collaboration – Onapsis Research Labs trug zur Behebung von acht Schwachstellen bei, die von sieben SAP-Sicherheitshinweisen abgedeckt werden. Dazu gehören zwei HotNews-Schwachstellen im SAP Diagnostics Agent und ein Hinweis mit hoher Priorität, der das BI Content AddOn (BI_CONT) betrifft.
Schwachstelle mit mittlerer Kritikalität und potenziell größerer Auswirkung – Es ist möglich, diese Schwachstelle mit anderen, bereits behobenen Schwachstellen zu verknüpfen.
SAP hat an seinem April Patch Day 24 neue und aktualisierte Sicherheitshinweise veröffentlicht (einschließlich der Hinweise, die seit dem letzten Patch Tuesday veröffentlicht oder aktualisiert wurden). Darunter befinden sich fünf HotNews-Hinweise und ein High Priority-Hinweis.
Einer der fünf HotNews-Hinweise ist der regelmäßig wiederkehrende SAP-Sicherheitshinweis Nr. 2622660, der ein Update für SAP Business Client enthält, einschließlich der neuesten unterstützten Chromium-Patches. SAP Business Client unterstützt jetzt die Chromium-Version 111.0.5563.65, die insgesamt 71 Schwachstellen behebt, darunter zwei kritische und 32 Schwachstellen mit hoher Priorität. Der maximale CVSS-Wert aller behobenen Schwachstellen beträgt 8,8.
Zwei der fünf HotNews Notes enthalten kleinere Updates:
Das wichtigere Update betrifft den SAP Security Note #3273480, der ursprünglich am SAP Patch Tuesday im Dezember 2022 veröffentlicht wurde. Der Hinweis ist mit einem CVSS-Score von 9.9 versehen und behebt eine Sicherheitslücke in SAP NetWeaver AS Java, die eine unzulässige Zugriffskontrolle ermöglicht. SAP hat jetzt einen Fix für SP026 hinzugefügt.
Der HotNews-Hinweis #3294595, der mit einem CVSS-Score von 9.6 gekennzeichnet ist, enthält lediglich eine textliche Aktualisierung des Lösungsabschnitts. Für Kunden, die den Patch bereits eingespielt haben, besteht kein Handlungsbedarf.
Die neuen HotNews-Hinweise im Detail
Die Onapsis Research Labs (ORL) haben dazu beigetragen, zwei kritische Schwachstellen im SAP Diagnostics Agent zu beheben. Das ORL entdeckte, dass die OSCommandBridge und die EventLogService Collector-Komponente des Agenten es einem nicht authentifizierten Benutzer ermöglicht, Skripte auf allen Diagnostics Agents auszuführen, die mit SAP SolutionManager verbunden sind. In Verbindung mit einer unzureichenden Eingabevalidierung waren Angreifer in der Lage, bösartige Befehle auf allen überwachten SAP-Systemen auszuführen, was deren Vertraulichkeit, Integrität und Verfügbarkeit stark beeinträchtigte. Der SAP Sicherheitshinweis #3305369, der mit dem maximalen CVSS-Score von 10 gekennzeichnet ist, bietet einen Patch für eine breite Palette von Support-Package-Levels. Die folgende Tabelle zeigt einige wichtige Aspekte der beiden Schwachstellen und ihre Unterschiede auf:
CVE Affected Component |
CVSS | Complexity | Unauthenticated Attack possible? | Input Validation Missing | Affected OS |
CVE-2023-27497 | 10 | Low | In SAP NW AS Java < 7.5 SP25 PL7 |
Yes | Windows |
CVE-2023-27267 | 9 | High | All |
Der SAP-Hinweis verweist auf SAP KBA #3309989 für weitere Details (zum Zeitpunkt der Erstellung dieses Beitrags in Arbeit). Wir empfehlen, den Patch sofort anzuwenden, da die Schwachstelle ein hohes Risiko für die gesamte SAP-Systemlandschaft darstellt.
Der zweite neue HotNews-Hinweis ist der SAP-Sicherheitshinweis #3298961, der mit einem CVSS-Score von 9.8 versehen ist. Der Hinweis behebt eine kritische Schwachstelle in der SAP BusinessObjects Business Intelligence Platform (Promotion Management), die eine Offenlegung von Informationen ermöglicht. Ein fehlender Passwortschutz ermöglicht es einem Angreifer mit einfachen Rechten, Zugriff auf die lcmbiar-Datei zu erhalten. Nach erfolgreicher Entschlüsselung des Inhalts könnte der Angreifer Zugriff auf die Passwörter der BI-Benutzer erhalten. Je nach den Berechtigungen des identifizierten Benutzers könnte ein Angreifer die Vertraulichkeit, Integrität und Verfügbarkeit des Systems vollständig gefährden.
SAP-Sicherheitshinweise mit hoher Priorität
Der SAP Sicherheitshinweis #3305907, der mit einem CVSS-Score von 8.7 versehen ist, ist der einzige Hinweis mit hoher Priorität im April. Das ORL hat dazu beigetragen, eine Directory Traversal Schwachstelle im BI_CONT AddOn zu beheben. Ein Bericht des AddOns erlaubt es einem entfernten Angreifer mit administrativen Rechten, beliebige und potentiell kritische OS-Dateien zu überschreiben. Dies könnte das betroffene System komplett unbrauchbar machen. Der Patch schaltet den verwundbaren Report vollständig ab.
Weiterer Beitrag der Onapsis Research Labs
Die Onapsis Research Labs haben einschließlich April nun Forschungsbeiträge für SAP für sechsunddreißig Patches im Jahr 2023 geliefert. Zusätzlich zu den beiden HotNews Patches und dem High Priority Patch, der am heutigen Patch Day veröffentlicht wurde, hat unser Team auch zu fünf weiteren Medium Priority Notes beigetragen.
Die SAP Security Notes #3303060 und #3296378, die mit einem CVSS-Score von 5,3 und 6,5 versehen sind, beheben Denial-of-Service-Schwachstellen in SAP NetWeaver AS ABAP/ABAP Platform. Speziell gestaltete Anfragen ermöglichen es einem Angreifer mit nicht-administrativen Rechten, ein System aus der Ferne vollständig unzugänglich zu machen.
SAP Security Note #3289994, gekennzeichnet mit einem CVSS-Score von 6.5, behebt eine Sicherheitslücke in SAP NetWeaver Enterprise Portal, die durch fehlende Authentifizierung verursacht wird. Die Schwachstelle ermöglicht es nicht authentifizierten Angreifern, sich an eine offene Schnittstelle anzuschließen und eine offene API zu verwenden, um auf einen Dienst zuzugreifen, der es ihnen ermöglicht, auf Servereinstellungen und -daten zuzugreifen oder diese zu ändern, was isoliert betrachtet zu begrenzten Auswirkungen auf die Vertraulichkeit und Integrität führt. Es ist jedoch möglich, dass ein Bedrohungsakteur diese spezielle Schwachstelle mit einer Familie von zuvor gepatchten Schwachstellen koppelt, die das ORL-Team als „P4CHAINS“ bezeichnet hat. Weitere Informationen finden Sie in diesem Blog, wo Sie weitere Analysen von JP Perez-Etchegoyen lesen können.
SAP Security Note #3309056, gekennzeichnet mit einem CVSS Score von 6, behebt eine Code Injection Schwachstelle in SAP CRM. Das ORL-Team entdeckte ein remote-fähiges Funktionsmodul, das den generischen Aufruf anderer Anwendungsfunktionsmodule ermöglicht. Angreifer benötigen lediglich die erforderliche S_RFC-Autorisierung für das verwundbare Modul. Der Patch schaltet das betroffene Modul vollständig ab.
SAP Security Note #3287784, gekennzeichnet mit einem CVSS-Score von 5.3, behebt eine Schwachstelle in der unzureichenden Zugriffskontrolle im Deploy Service eines SAP NetWeaver AS Java. Eine fehlende Zugriffskontrolle ermöglicht es einem nicht authentifizierten Angreifer, sich an eine offene Schnittstelle anzuschließen und eine offene Namens- und Verzeichnis-API für den Zugriff auf einen Dienst zu nutzen. Eine erfolgreiche Ausnutzung könnte Lesezugriff auf Serverdaten mit geringen Auswirkungen auf die Vertraulichkeit des Systems ermöglichen.
Zusammenfassung und Schlussfolgerungen
Mit vierundzwanzig neuen und aktualisierten SAP-Sicherheitshinweisen, darunter fünf HotNews-Hinweise und ein Hinweis mit hoher Priorität, scheint der April-Patch-Day ein arbeitsreicher Tag zu werden. SAP-Kunden sollten der Implementierung des HotNews-Hinweises #3305369 Vorrang einräumen, da ein erfolgreicher Angriff möglicherweise alle Systeme einer Landschaft gefährden könnte. Glücklicherweise enthalten zwei der HotNews-Hinweise nur geringfügige Aktualisierungen, und SAP Business Client-Kunden sind gut darin geschult, die mit dem wiederkehrenden HotNews-Hinweis #2622660 bereitgestellten Updates anzuwenden. SAP hat mehrere Schwachstellen durch einfaches Deaktivieren des betroffenen Berichts- oder Funktionsmoduls behoben. Überprüfen Sie also Ihren eigenen benutzerdefinierten Code auf veraltete Objekte, die gelöscht werden können. Ein verwundbares Objekt stellt immer ein Sicherheitsrisiko dar – auch wenn es nicht mehr verwendet wird…
SAP Note | Type | Description | Priority | CVSS |
2622660 | Update | Security updates for the browser control Google Chromium delivered with SAP Business Client
BC-FES-BUS-DSK |
HotNews | 10,0 |
3269352 | New | [CVE-2023-29189] HTTP Verb Tampering vulnerability in SAP CRM (WebClient UI)
CA-WUI-UI |
Medium | 5,4 |
3301457 | New | [CVE-2023-1903] Missing Authorization check in SAP HCM Fiori App My Forms (Fiori 2.0)
PA-FIO-FO |
Medium | 4,3 |
3275458 | New | [CVE-2023-27499] Cross-Site Scripting (XSS) vulnerability in SAP GUI for HTML
BC-FES-WGU |
Medium | 6,1 |
3305907 | New | [CVE-2023-29186] Directory Traversal vulnerability in SAP NetWeaver ( BI CONT ADD ON)
BW-BCT-GEN |
High | 8,7 |
3312733 | New | [CVE-2023-26458] Information Disclosure vulnerability in SAP Landscape Management
BC-VCM-LVM |
Medium | 6,8 |
3311624 | New | [CVE-2023-29187] DLL Hijacking vulnerability in SapSetup (Software Installation Program)
BC-FES-INS |
Medium | 6,7 |
3117978 | New | [CVE-2023-29111] Information Disclosure vulnerability in SAP Application Interface Framework (ODATA service)
BC-SRV-AIF |
Low | 3,1 |
3113349 | New | [CVE-2023-29110] Code Injection vulnerability in SAP Application Interface Framework (Message Dashboard)
BC-SRV-AIF |
Low | 3,7 |
3115598 | New | [CVE-2023-29109] Code Injection vulnerability in SAP Application Interface Framework (Message Dashboard)
BC-SRV-AIF |
Medium | 4,4 |
3114489 | New | [CVE-2023-29112] Code Injection vulnerability in SAP Application Interface Framework (Message Monitoring)
BC-SRV-AIF |
Low | 3,7 |
3298961 | New | [CVE-2023-28765] Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Promotion Management )
BI-BIP-LCM |
HotNews | 9,8 |
3309056 | New | [CVE-2023-27897] Code Injection vulnerability in SAP CRM
CRM-BF |
Medium | 6,0 |
3316509 | New | Remote Code Execution vulnerability in SAP Commerce
CEC-COM-CPS-COR |
Medium | 4,7 |
3289994 | New | [CVE-2023-28761] Missing Authentication check in SAP NetWeaver Enterprise Portal
EP-PIN-PRT |
Medium | 6,5 |
3303060 | New | [CVE-2023-29185] Denial of Service (DOS) in SAP NetWeaver AS for ABAP (Business Server Pages)
BC-BSP |
Medium | 5,3 |
3296378 | New | [CVE-2023-28763] – Denial of Service in SAP NetWeaver AS for ABAP and ABAP Platform
BC-MID-AC |
Medium | 6,5 |
3305369 | New | [CVE-2023-27497] Multiple vulnerabilities in SAP Diagnostics Agent (OSCommand Bridge and EventLogServiceCollector)
SV-SMG-DIA-SRV-AGT |
HotNews | 10,0 |
3287784 | New | [CVE-2023-24527] Improper Access Control in SAP NetWeaver AS Java for Deploy Service
BC-JAS-DPL |
Medium | 5,3 |
3315312 | New | [CVE-2023-29108] IP filter vulnerability in ABAP Platform and SAP Web Dispatcher
BC-CST-IC |
Medium | 5,0 |
3294595 | Update | [CVE-2023-27269] Directory Traversal vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform
BC-CCM-PRN |
HotNews | 9,6 |
3000663 | Update | [CVE-2021-33683] HTTP Request Smuggling in SAP Web Dispatcher and Internet Communication Manager
BC-CST-WDP |
Medium | 5,4 |
3273480 | Update | [CVE-2022-41272] Improper access control in SAP NetWeaver AS Java (User Defined Search)
BC-XI-CON-UDS |
HotNews | 9,9 |
3290901 | Update | [CVE-2023-24528] Missing Authorization Check in SAP Fiori apps for Travel Management in SAP ERP (My Travel Requests)
FI-TV-ODT-MTR |
Medium | 6,5 |
Onapsis Research Labs aktualisiert die Onapsis-Plattform automatisch mit den neuesten Bedrohungsdaten und Sicherheitsrichtlinien, damit unsere Kunden den sich ständig weiterentwickelnden Bedrohungen einen Schritt voraus sind und ihr Unternehmen schützen können.
Weitere Informationen über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen, Wissen mit der Sicherheits-Community zu teilen, finden Sie in unseren früheren Patch Day-Blogs und abonnieren Sie unseren monatlichen Defenders Digest Newsletter.