MES und SAP Commerce | SAP Security Patchday Oktober 2022
Autor: Tobias Harmes | 12. Oktober 2022
Am 11.10.2022 war wieder wie jeden zweiten Dienstag im Monat der SAP Security Patchday. Es gab diesmal 15 neue Security Hinweise und zusätzlich zwei Updates von zuvor veröffentlichten Hinweisen. Es gibt zwei Hinweis mit der höchsten Priority-Einstufung Hot News für die Lösungen SAP Manufacturing Execution und SAP Commerce.
Ich empfehle wie immer ein kurzes Überfliegen des offiziellen PDFs um herauszufinden, ob es weitere relevante Hinweise für in der eigenen Landschaft eingesetzte SAP Lösungen gibt. Alternativ erhält man auch eine Übersicht über das Support-Portal mit dem Filter oben „Patch Day“.
Wahlfreier Server-Zugriff auf SAP Manufacturing Execution / MES
Eine File path traversal vulnerability mit dem CVSS-Score von 9,9/10 gibt es in älteren Versionen der SAP Manufacturing Execution / MES Lösung. Unberechtigte können bei Anfragen die Verzeichnispfade manipulieren und so wahlfrei auf Verzeichnis-Inhalte auf dem Server zugreifen. Neueste Versionen sind laut Hinweis nicht betroffen, SAP empfiehlt als Sofortmaßnahme sowohl den Workaround als auch die langfristige Lösung über Support-Package. Details gibt es hier: 3242933 – [CVE-2022-39802] File path traversal vulnerability in SAP Manufacturing Execution.
Account-Diebstahl durch Umleiten der Logins in SAP Commerce
Bei SAP Commerce gibt es auf der Login-Seite die Möglichkeit, fremden Code so einzuschleusen, dass Angreifer die in das Formular eingegebene Daten auf ihren eigenen Server umleiten können. Die Möglichkeit zum Account-Diebstahl für zu einem CVSS-Score von 9,6/10. Dies setzt natürlich voraus, dass Angreifer über Phishing-Möglichkeiten entsprechende URLs erfolgreich an Anwender übermitteln können.
Der Hinweis 3239152 – [CVE-2022-41204] Account hijacking through URL Redirection vulnerability in SAP Commerce login form stellt Workarounds zur Verfügung, die entsprechend manipulierte Aufrufe abwehren und Patches, damit die System-logik entsprechende Anfragen verwirft.
Unterlagen und Links
Demnächst…
Wir berichten regelmäßig über SAP Sicherheit aus der Praxis. Unsere Webinare finden Sie hier.