Script-Ziel SAP-System, BO/BI Passwörter| SAP Security Patchday April 2023
Autor: Tobias Harmes | 11. April 2023
Am 11.04.2023 war der vierte SAP Security Patchday in diesem Jahr. Wie jeden zweiten Dienstag im Monat gab es neue Security-Hinweise, diesmal 19 neue Security Notes und fünf Updates zu Patchdays vergangener Monate. Größtes Risiko geht diesmal von Lücken im SAP Diagnostics Agent aus, der praktisch auf allen SAP Servern installiert ist.
Auch für den April haben SAP und andere Security Researcher einiges gemeldet, hinsichtlich Risikoeinstufung sogar noch kritischer als im Monat März. Ich empfehle (wie immer) ein Überfliegen des offiziellen PDFs um herauszufinden, ob es relevante Hinweise für die eigene SAP-Landschaft gibt. Alternativ erhält man auch eine Übersicht über das SAP-Support-Portal mit dem Expert-Filter oben „Patch Day“.
Remote-Skripte ausführen auf jedem SAP-System
Der Diagnostic Agent ist ein Hintergrunddienst auf SAP Servern, der beim Monitoring von SAP Systemen hilft und standardmäßig auf SAP-Systemen mit installiert und über den Solution Manager 7.2 konfiguriert und ausgelesen wird. Unter Windows sind zwei Komponenten dieses Dienstes angreifbar und erlauben wegen fehlender Authentisierung und Eingabevalidierung die Remote-Ausführung von Skripten und damit die komplette Kompromittierung des Systems. Die Lücke in der Komponente unter Windows (EventLogServiceCollector) hat einen CVSS-Score von 10/10. Andere Betriebssysteme haben „nur“ die Lücke in der Komponente „OSCommand Bridge“ mit einem geringeren CVSS von immer noch 9.0/10.
Lösung dafür ist das Patchen der Agents bzw. der Komponente LM_SERVICE, die die beiden betroffenen Komponenten EventLogServiceCollector und OSCommand Bridge entfernen. Siehe dazu 3305369 – [CVE-2023-27497] Multiple vulnerabilities in SAP Diagnostics Agent (OSCommand Bridge and EventLogServiceCollector)
Zugriff auf Passwörter in Business Objects Promotion Management
Angreifer mit grundlegenden Rechten können die Datei lcmbiar auslesen – mit der sich dann BI User und Passwörter ermitteln lassen. Dadurch kann die komplette Applikation übernommen werden. Die Lücke hat einen CVSS-Score 9.8/10. Ich frage mich gerade, wieso ich aus einer Datei in heutigen Zeiten noch ein Passwort ermitteln kann.
Lösung ist, einen entsprechenden Patch zu installieren. Als Workaround kann ein Passwort-Schutz auf die Datei angewendet werden. Details in der entsprechenden Security Note 3298961 – [CVE-2023-28765] Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Promotion Management)
Updates der Updates im April
Wie eigentlich jeden Monat gibt es auch Updates zu zuvor veröffentlichen Hinweisen.
Ungeschlagen in der Anzahl der Updates einer Security Note – es gibt für den SAP Business Client mal wieder ein Chromium-Update. CVSS-Score 10/10 bezieht sich auf das kritischste Update aus der Vergangenheit – das aktuelle Update bezieht sich auf eine Lücke mit CVSS-Score 8.8/10. 2622660 – Security updates for the browser control Google Chromium delivered with SAP Business Client
Der AS Java hatte im Dezember einen Security-Hinweis mit CVSS 9.9/10. Die Sicherheitslücke erlaubt den Zugriff auf und die eingeschränkte Veränderung von Benutzerdaten im AS Java über eine offene JNDI-Schnittstelle ohne Benutzerprüfung. Der Hinweis 3273480 – [CVE-2022-41272] Improper access control in SAP NetWeaver AS Java (User Defined Search) ist nun für ein weiteres SP-Level freigegeben worden.
Für NetWeaver AS ABAP gab es im März eine neue Schwachstelle, gültig für die meisten Releases ab Version 7.00. In einem Directory Traversal-Angriff kann man ohne Admin-Berechtigungen aus erlaubten Pfaden ausbrechen und Dateien des Betriebssystems manipulieren. Der irritierende Hinweis auf einen nicht vorhandenen Workaround wurde entfernt und Tipps für die Aktivierung ergänzt. 3294595 – [CVE-2023-27269] Directory Traversal vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform
Unterlagen und Links
- Offizielle Übersicht SAP Patchday (PDF)
- DSAG AK Security & Vulnerability Management – Online-Session “Diskussion zu ausgewählten SAP Security Notes” ab 04.2023
- Hereinspaziert in Business Objects, ABAP, JAVA | SAP Security Patchday März 2023
Demnächst…
Am 04.05.2023 hält mein Kollege Luca Cremer ein Webinar zum Thema “NIS2 im Überblick: neue EU-Richtlinie für Cybersicherheit”. Weitere Webinare finden Sie hier.