Hereinspaziert in Business Objects, ABAP, JAVA | SAP Security Patchday März 2023

Autor: Tobias Harmes | 15. März 2023

Am 14.03.2023 stand wieder der SAP Security Patchday an. Der zweite Dienstag im Monat brachte diesmal 19 neue Security-Hinweise und keine Updates zu vorherigen Patchdays. Es gibt immerhin fünf Hot News, d. h. mit einem CVSS-Score von 9 und mehr.

Die Security Researcher haben den relativ ruhigen Februar nicht auf sich sitzen lassen und ordentlich neue Lücken gemeldet. Ich empfehle (wie immer) ein Überfliegen des offiziellen PDFs um herauszufinden, ob es relevante Hinweise für in der eigenen Landschaft eingesetzte SAP Lösungen gibt. Alternativ erhält man auch eine Übersicht über das SAP-Support-Portal mit dem Expert-Filter oben „Patch Day“.

Code einschleusen und Betriebssystem-Kommandos remote starten bei SAP Business Objects

Business Objects ist zweimal vorne dabei. Für die Business Objects Intelligence Platform (CMC) gibt es die Gefahr, dass remote Code eingeschleust werden kann und man damit unberechtigt Daten erhält oder sie verändern kann. Es gibt einen Patch. Es wird ein Workaround erwähnt, aber ich habe in der aktuellen Version des Hinweises keinen gefunden, nur einen Verweis auf einen nicht freigegebenen Hinweis. Also später noch mal vorbeischauen. Der Hinweis kommt mit CVSS-Score 9.9/10: 3245526 – [CVE-2023-25616] Code Injection vulnerability in SAP Business Objects Business Intelligence Platform (CMC)

Wer seinen Adaptive Job Server auf Unix laufen hat, riskiert ungepatcht zudem die Ausführung von Betriebssystemkommandos entfernt über das Netzwerk. Das war immerhin noch ein CVSS 9.0/10 wert. 3283438 – [CVE-2023-25617] OS Command Execution vulnerability in SAP Business Objects Business Intelligence Platform (Adaptive Job Server). Auch hier ist die Lösung ein Patch. Es gibt einen Workaround, mit dem man die Ausführung von Scripts und Java-Programmen deaktivieren kann – vermutlich für die meisten keine sehr praktikable Lösung.

Reinschauen und AS JAVA lahmlegen

Wegen fehlender Authentifizierungsprüfung können Angreifer von außen den LockingService des AS JAVA angreifen und damit vertrauliche Informationen erhalten oder den ganzen Server lahmlegen. Die Lösung sorgt per Patch für die bisher fehlende Authentifizierung. 3252433 – [CVE-2023-23857] Improper Access Control in SAP NetWeaver AS for Java

Als Workaround bleibt nur per Firewall/ACL-Regel die Sperre des Ports bzw. wenn P4HTTP(S) verwendet wird, ein entsprechender URL-Filter, der im FAQ dazu beschrieben wird. 3299806 – FAQ for SAP Security Note 3252433

AS ABAP – nicht lesen, aber (kaputt) ändern

Das Fundament von ERP ECC 6.0 und S/4HANA, der NetWeaver AS ABAP, hat eine neue bekannte Schwachstelle, gültig für die meisten Releases ab Version 7.00. In einem Directory Traversal-Angriff kann man ohne Admin-Berechtigungen aus erlaubten Pfaden ausbrechen und Dateien des Betriebssystems manipulieren. Als Lösung kann man das Support-Package einspielen oder eine manuelle Code-Korrektur vornehmen (Report RSPOXTAB). 3294595 – [CVE-2023-27269] Directory Traversal vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform

Gleiches ist auch mit dem Report SAPRSBRO möglich. Mit dem Patch aus dem Hinweis wird das entsprechende Programm stillgelegt. 3302162 – [CVE-2023-27500] Directory Traversal vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform

Webinar: Identity & Access Management in der SAP BTP

In diesem Webinar erfahren Sie, wie Sie ein sicheres und nachhaltiges Identity und Access Management in der SAP BTP umsetzen.

In dem Zuge (knapp unter der Hot-News-Grenze mit einem CVSS-Score von 8.7/10) kann man gleich noch ABAP-Funktion EPS_SEEK_OUTPUT_FILE patchen. Diese kann ebenfalls aufs Glatteis geführt werden und erlaubt so die Löschung von Systemfiles. 3294954 – [CVE-2023-27501] Directory Traversal vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform

Wer es Maxi-machen-will, schaut noch auf eine CVSS 8.8/10-Lücke im Solution Manager Plugin ST-PI, ebenfalls in vielen ABAP-Systemen installiert. Da kann mit Nicht-Admin-Rechten auch auf den von Solman verwalteten Systemen Code ausgeführt werden. Die Lösung hierfür ist ein Patch. 3296476 – [CVE-2023-27893] Arbitrary Code Execution in SAP Solution Manager and ABAP managed systems (ST-PI)