Security Patch Day, SSL Verschlüsselungen prüfen, Webservice Verfügbarkeit mit ABAP testen | RZ10 Update vom 09.06.2021
Autor: Tobias Harmes | 9. Juni 2021
Im RZ10 Update spreche ich über aktuelle Themen und News in der Welt von SAP Basis & Security. Die Themen vom 09.06.2021: Der Security Patch Day, SSL Verschlüsselungen prüfen und die Webservice-Verfügbarkeit mit ABAP testen.
…auf YouTube
YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms
…als Podcast
Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast
Feedback? harmes@rz10.de
…zum Lesen
Security Patch Day im Juni
Der SAP Security Patch Day ist in diesem Monat am 08. Juni veröffentlicht worden. Er brachte 17 Security Notes mit zwei Updates. Darunter befinden sich zwei Hot News und vier High News. Letztere haben allerdings dieselbe Fehlerquelle in unterschiedlichen Software-Produkten und können deshalb auch als zwei High News verstanden werden.
Der erste Hot News Hinweis hat einen CVSS Score von 9.9 und ist ein Update für SAP Commerce (3040210). Hier geht es immer noch um die Source Rules in der SAP Commerce Lösung. Die Änderungen scheinen aber intern zu sein, da keine Information über das Update zur Verfügung steht.
Neu ist die Hot News über eine mangelhafte Authentisierung im SAP NetWeaver ABAP bei der Kommunikation via HTTP und RFC (3007182). Der Security Hinweis betrifft alle Releases. Das Problem ist, dass SAP nicht unterscheidet, ob zwei Applikationsserver des gleichen Systems miteinander sprechen oder ob sich einer der Kommunikationspartner fälschlicherweise als legitimer Partner ausgibt. Böswillige User können sich die Zugangsdaten von einer internen RFC-Kommunikation besorgen und sich dann als internen Aufrufer ausgeben. Leider gibt es kein Workaround, sondern man muss einen aktuellen Kernel einspielen. SAP empfiehlt zur Risikominderung außerdem, externe Netzwerke mit entsprechenden Netzwerk-Sicherungsmaßnahmen wie Firewalls und Access Listen abzusichern, wenn das möglich ist.
Mit einem Score von 8.7 wird beim Patch Day auch auf eine fehlende XML-Validierung im SAP NetWeaver AS for JAVA (3053066) hingewiesen. Durch eine speziell vorbereiteten XML-Datei kann der Angreifer hier jede beliebige Datei im Filesystem lesen oder das ganze System zum Absturz bringen. Auch hier gibt es leider keinen Workaround, sondern man muss den Patch für ESP_FRAMEWORK einspielen, um den XML Parser zu aktualisieren.
Ebenfalls als High eingestuft mit 7.5/10 ist der Hinweis 3020209, der eine Memory Curruption-Schwachstelle in NetWeaver AS ABAP beschreibt. Hier können speziell präparierte Netzwerkanfragen das SAP Gateway und andere ABAP-Serverkomponenten beeinflussen und so die SAP-Verfügbarkeit beeinträchtigen. Dieser Hinweis betrifft mehrere der High News, weil sie alle dieselbe Fehlerquelle haben. Zum Patchen muss der neuste Kernel-Patch eingespielt werden.
Verschlüsselung via SSL, TLS und DANE prüfen
Da ich mir bereits seit einiger Zeit ein ähnliches Tool für SAP gewünscht habe, möchte ich an dieser Stelle eine Empfehlung für das kostenlose Commandline-Tool testssl.sh aussprechen. Mit testssl.sh können über eine Dateisammlung umfassende TLS/SSL Tests für mehr Sicherheit durchgeführt werden. Dafür wird nur das Tool selbst benötigt, das es zum Beispiel hier zum Download gibt.
Die Ergebnisse des Tests zeigen dann in einem sehr anwenderfreundlichen Skript, ob die Verschlüsselungsoptionen dem aktuellen Stand entsprechen, ob Verschlüsselungsschwachstellen vorliegen oder ob mit meinem SAP System hinsichtlich “https” alles in Ordnung ist. Da hier viele Attacken erfolgen, ist es ratsam, sich auf diese Weise vor typischen SSL, DANE oder TSL Angriffen zu schützen.
Ein wichtiger Hinweis vor der Anwendung: Mit testssl.sh werden auch Sicherheitslücken abgeprüft. Wenn Sicherheitsmaßnahmen aktiv sind, kann es durch entsprechende Protokolle beispielsweise Probleme mit dem Switch Port geben. Vor der Anwendung sollten deshalb am besten auch die Kollegen für die IT Sicherheit informiert werden, damit der Port vorher in eine Ausnahmeliste gepackt wird.
Optional kann WSL noch bequemer über das Paket „Windows Terminal“ aus dem Windows Store genutzt werden. Das Paket bringt die übliche CMD Shell mit einer Power Shell sowie die Möglichkeit, verschiedenste WSL Linux übersichtlich zu öffnen. Hier ist auch ein klassischer CMD und die Darstellung in Tabs möglich. Das macht Windows Terminal attraktiv für jeden, der gerne schnell mit mehreren offenen Seiten arbeitet.
Webservice Verfügbarkeit mit ABAP testen
Auch bei saptechnicalguru.com konnte ich noch einen hilfreichen Tipp finden, den ich nicht vorenthalten möchte. Dabei handelt es sich um ein Z-Programm, um die Webservice Verfügbarkeit zu testen. Denn mit der Transaktion SOAMANAGER im SAP gibt es diese Möglichkeit zwar bereits, doch leider kann man die Tests hier zum Beispiel nicht planen und auch nicht mehrere Webservices auf einmal testen.
Das Z-Programm auf saptechnicalguru.com bietet jetzt einen Report an, der genau solche Funktionen möglich macht. Das ist für jeden User etwas, der bisher nicht mit dem Solution Manager arbeitet und seine Tests in Zukunft trotzdem systematischer durchführen möchte.
Das war unser RZ10 Update aus dem Juni. Zum Schluss aber noch ein kleiner Eventtipp: Bei den Compliance-Forum-Infotagen von Convitsa und Espresso Tutorials sind dieses Jahr auch wir mit dabei. Am 22. Und 23. Juni 2021 gibt es hier viele spannende Vorträge zu Themen wie Compliance und Security.
Am 24.06 bieten wir von RZ10 außerdem wieder das Webinar „Best Practices für Pentests im SAP Umfeld“ an. Zur Anmeldung dafür geht es hier.
Wie immer gibt es weitere Tipps und Hinweise auf unserer Website, in unseren anderen Webinaren oder auf unserem YouTube-Kanal. Außerdem freue ich mich auch über Feedback per Mail an harmes@rz10.de.