SAP Sicherheitslücke in der Transaktion SUIM

Autor: Tobias Harmes | 25. September 2013

2 | 27 | #SAP_ALL, #SAP_NEW, #SE38, #SU01, #SUIM

Die Transaktion SUIM ist als Werkzeug im Berechtigungsumfeld kaum wegzudenken. Interne, sowie externe Auditoren nutzen diese Transaktion um zum Beispiel Benutzer mit kritischen Berechtigungen zu identifizieren, die sie solche nicht haben sollten. Stellen Sie sich jetzt vor, dass es einen Dialog-Benutzer in Ihrem System gibt, der das Profil SAP_ALL besitzt und über die Transaktion SUIM nicht gefunden werden kann. In diesem Beitrag möchte ich Ihnen deshalb zeigen, wie Sie diese SAP Sicherheitslücke auf Ihrem System erkennen und wie Sie diese beheben können.

Die SAP Sicherheitslücke

Dreh und Angelpunkt ist der unscheinbare Dialog-Benutzer ‘…………’, den ich über die Transaktion SU01 mit den Profilen SAP_ALL und SAP_NEW anlege. Falls jemand die Lücke ausnutzen möchte, wird er sehr wahrscheinlich nicht diesen offensichtlichen Weg gehen, sondern den Benutzer unter zu Hilfenahme verschiedener Funktionsbausteine etc. erstellen.

Der Benutzer sieht wie folgt aus.

SAP Sicherheitslücke in der Transaktion SUIM

SAP Sicherheitslücke in der Transaktion SUIM

Wenn Sie nun über die Transaktion SUIM (Report RSUSR002) nach Benutzern mit dem Profil SAP_ALL suchen, werden Sie merken, dass die Ergebnisliste diesen Dialog-Benutzer nicht enthält. In den nächsten beiden Abbildungen wird dieses Phänomen noch einmal dargelegt.

SAP Security Check - Analyse Ihrer aktuellen Systemsicherheit

Wir verschaffen Ihnen einen klaren Einblick in die aktuelle Sicherheitssituation Ihres SAP-Systems - mit unserem SAP Security Check und Audit.

SAP Sicherheitslücke in der Transaktion SUIM

SAP Sicherheitslücke in der Transaktion SUIM

Die Ursache

Grund für die Misere sind zwei Zeilen ABAP Code im Report RSUSR002, der hinter der Transaktion SUIM steckt. Über die Transaktion SE38 können Sie sich den Quellcode zu dem Report anschauen und dort über die Suche die betreffenden Stellen ausfindig machen.

SAP Sicherheitslücke in der Transaktion SUIM

SAP Sicherheitslücke in der Transaktion SUIM

Wie Sie der Abbildung entnehmen können wird durch die Anweisung DELETE userlist WHERE bname = ‘…………’. aktiv der Benutzer aus der Liste entfernt und ist somit für Sie unsichtbar.

Die Lösung zur SAP Sicherheitslücke

Durch Einspielen des SAP Hinweises 1844202 lässt sich die SAP Sicherheitslücke schließen. Zusätzlich empfehle ich in diesem Zusammenhang die Implementierung des SAP Hinweises 1731549, über den der Zeichenvorrat für den Benutzerstamm eingeschränkt wird.

Sollten Sie für den Übergang eine schnelle Lösung suchen, so können Sie den Benutzer ‘…………’ auch im SAP Security Audit Log eintragen, da das SAP Security Audit Log als einziges die Aktivitäten dieses Benutzers protokolliert.

Wie sind Ihre Erfahrungen mit Sicherheitslücken in SAP? Ich freue mich auf Ihren Kommentar.

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

2 Kommentare zu "SAP Sicherheitslücke in der Transaktion SUIM"

Hallo Herr Gehring,
Habe gerade eben nachgeschaut in einer ERP 6.0 (SAPKB73107), da sind die Punkte ja immer noch.

Wurde dieses Problem mal an SAP gemeldet?

Aber da ich nach zugeordneten SAP_ALL Profile immer
über die UST04 schaue, habe ich keine Schwierigkeiten
mit der SUIM; ich will mir diese Dinge ja auch meist runterladen!

Gruß
Bernd Klüppelberg

Hallo Herr Klüppelberg,

das kann ich Ihnen leider nicht beantworten. Der SAP Hinweis aus dem Beitrag, der den Fehler beseitigt wurde am 11.06.2013 veröffentlicht.
Warum der Hinweis nicht integrierter Bestandteil neuerer Releases ist, bleibt wohl ein Geheimnis der SAP.

Grüße,
Oliver Gehring

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice