MES und SAP Commerce | SAP Security Patchday Oktober 2022

Ich empfehle wie immer ein kurzes Überfliegen des offiziellen PDFs um herauszufinden, ob es weitere relevante Hinweise für in der eigenen Landschaft eingesetzte SAP Lösungen gibt. Alternativ erhält man auch eine Übersicht über das Support-Portal mit dem Filter oben „Patch Day“.

Wahlfreier Server-Zugriff auf SAP Manufacturing Execution / MES

Eine File path traversal vulnerability mit dem CVSS-Score von 9,9/10 gibt es in älteren Versionen der SAP Manufacturing Execution / MES Lösung. Unberechtigte können bei Anfragen die Verzeichnispfade manipulieren und so wahlfrei auf Verzeichnis-Inhalte auf dem Server zugreifen. Neueste Versionen sind laut Hinweis nicht betroffen, SAP empfiehlt als Sofortmaßnahme sowohl den Workaround als auch die langfristige Lösung über Support-Package. Details gibt es hier: 3242933 – [CVE-2022-39802] File path traversal vulnerability in SAP Manufacturing Execution.

Account-Diebstahl durch Umleiten der Logins in SAP Commerce

Bei SAP Commerce gibt es auf der Login-Seite die Möglichkeit, fremden Code so einzuschleusen, dass Angreifer die in das Formular eingegebene Daten auf ihren eigenen Server umleiten können. Die Möglichkeit zum Account-Diebstahl für zu einem CVSS-Score von 9,6/10. Dies setzt natürlich voraus, dass Angreifer über Phishing-Möglichkeiten entsprechende URLs erfolgreich an Anwender übermitteln können.

Der Hinweis 3239152 – [CVE-2022-41204] Account hijacking through URL Redirection vulnerability in SAP Commerce login form stellt Workarounds zur Verfügung, die entsprechend manipulierte Aufrufe abwehren und Patches, damit die System-logik entsprechende Anfragen verwirft.

Unterlagen und Links

• Offizielle Übersicht SAP Patchday (PDF)
• Sommerloch | SAP Security Patchday August 2022

Demnächst…

Wir berichten regelmäßig über SAP Sicherheit aus der Praxis. Unsere Webinare finden Sie hier.