Heißer Jahresstart: Business Objects, JAVA und ABAP Schwachstellen | SAP Security Patchday Januar 2023
Autor: Tobias Harmes | 11. Januar 2023
Am 10.01.2023 ist der SAP Security Patchday ins neue Jahr gestartet. Wie jeden zweiten Dienstag im Monat gab es Security Hinweise, dieses Mal neun neue Security-Hinweise und zusätzlich drei Updates von zuvor veröffentlichten Hinweisen. Es geht „gut“ los: Insgesamt haben sieben Hinweise die höchste Einstufung als Hot News.
Ich empfehle wie immer ein kurzes Überfliegen des offiziellen PDFs um herauszufinden, ob es weitere relevante Hinweise für in der eigenen Landschaft eingesetzte SAP-Lösungen gibt. Alternativ erhält man auch eine Übersicht über das Support-Portal mit dem Expert-Filter oben „Patch Day“. Die Informationen aus 2022 wurde in einem eigenen PDF archiviert.
Datenbank-Zugriff auf SAP Business Planning and Consolidation MS
Über manipulierte Datenbankabfragen können Angreifer auf die Backend Datenbank zugreifen. Die SQL Injection Schwachstelle hat einen CVSS-Score von 9.9/10. Abhilfe schafft nur ein Patch, siehe 3275391 – [CVE-2023-0016] SQL Injection vulnerability in SAP Business Planning and Consolidation MS
Ausführung von fremdem Code in SAP BusinessObjects Business Intelligence Platform (Analysis edition for OLAP)
Angreifer können in der BusinessObjects Plattform fremden Code einschmuggeln, der dann auch netzwerkfähig ausgeführt wird. Die Gefahr der kompletten Kompromittierung verdient einen 9.9/10 CVSS-Score. Die Lösung ist ein Patch, es gibt aber auch einen Workaround. 3262810 – [CVE-2023-0022] Code Injection vulnerability in SAP BusinessObjects Business Intelligence platform (Analysis edition for OLAP)
Voll-Zugriff auf Benutzerdaten im AS Java
Noch mehr AS Java Schwachstellen. Aufgrund von fehlender Berechtigungsprüfung können nicht-authentisierte Benutzer Anfragen und Änderungen an Benutzerdaten im AS Java durchführen und damit auch die Verfügbarkeit von Diensten gefährden. Die Lücke hat einen CVSS-Score von 9.4/10. Die Lösung ist ein Patch, der die entsprechenden öffentlichen Funktionen einschränkt. Der Hinweis enthält Anweisungen, wie man die neuen notwendigen Berechtigungen in bestehende kundeneigene Rollen einfügen kann: 3268093 – [CVE-2023-0017] Improper access control in SAP NetWeaver AS for Java
Schwachstelle in Trusted System Konzept kann für SAP-System-Zugriff missbraucht werden
Bisherige ABAP-Systeme können ausgetrickst werden, weil ein Hash zu Identifikation von Systemen nicht wirklich eindeutig ist und sich über Replay-Attacken vortäuschen lässt. Damit könnte ein Angreifer sich als vertrauenswürdiges System ausgeben. Die Lücke hat einen CVSS-Score von 9.0/10 und benötigt ein Update sowohl von SAP Kernel als auch von SAP_BASIS-Packages auf Trusting- und Trusted-System Seite. Und ein Backup des Systems wird empfohlen (ist ja immer eine gute Idee, hier aber explizit erwähnt). 3089413 – [CVE-2023-0014] Capture-replay vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform
//Update: Frank Buchholz von SAP hat einen Beitrag geschrieben, der zeigt, wie eine Migration der Trusted Systems in der SMT1 aussehen kann: SAP Support Wiki – Note 3089413 – Capture-replay vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform
(UPDATE) Daten auslesen und ändern in AS Java / SAP Process Integration
Updates für die beiden AS JAVA Security Notes aus dem Dezember. In den Patchday-Notes steht es immer noch als „SAP Process Integration“-Thema, in den Hinweisen steht weiterhin AS Java. Beide Hinweise sind hinsichtlich verfügbarer Support Packges aktualisiert worden. Details im Hinweis 3273480 – [CVE-2022-41272] Improper access control in SAP NetWeaver AS Java (User Defined Search) und 3267780 – [CVE-2022-41271] Improper access control in SAP NetWeaver AS Java (Messaging System).
Das Thema IT Security beschäftigt Unternehmen so stark wie nie zuvor. Bedrohungen entstehen durch Hacker und Sicherheitslücken, aber auch durch unzureichende Konfigurationen. Bei unserem Networking Lunch wollen wir mit Ihnen in den Austausch gehen: Was sind aktuelle Herausforderungen? Wie setzen das andere Unternehmen um? Was sind die Tipps und Tricks für mehr Sicherheit?
(UPDATE) Übernahmemöglichkeit SAP BusinessObjects BI Platform
Ein Update für den Security Note aus dem November für Business Objects. SAP empfiehlt weiterhin entsprechend die verfügbaren Support Packages zu installieren. Mit dem Update wurde die Workaround-Beschreibung aktualisiert, die aber weiterhin nur als temporäre Maßnahme geeignet ist. Mehr Details im Hinweis 3243924 – [CVE-2022-41203] Insecure Deserialization of Untrusted Data in SAP BusinessObjects Business Intelligence Platform (Central Management Console and BI Launchpad)
Unterlagen und Links
- Offizielle Übersicht SAP Patchday (PDF)
- Business Objects, AS JAVA und AS ABAP | SAP Security Patchday Dezember 2022
- SAP Support Security Notes Webinar – 2023-01
Demnächst…
Im März veranstalten wir einen Networking Lunch zum Thema „SAP Security 2023“ Dort wollen wir mit Ihnen in den Austausch gehen: Was sind aktuelle Herausforderungen? Wie setzen das andere Unternehmen um? Was sind die Tipps und Tricks für mehr Sicherheit? Neben zwei verschiedenen Fachvorträgen haben Sie während des Mittagessens, der Kaffeepausen und des Speedcoachings genug Zeit, sich mit den anderen Teilnehmenden sowie mit unseren Beratern über dieses Thema auszutauschen. Hier finden Sie mehr Infos und die Möglichkeit zur kostenlosen Anmeldungen: https://rz10.de/event/networking-lunch-sap-security/
Wir berichten außerdem regelmäßig über SAP-Sicherheit aus der Praxis. Unsere Webinare finden Sie hier.
