IS-OIL und PowerDesigner | SAP Security Patchday August 2023

Anscheinend ebenfalls zurück aus dem Urlaub haben SAP und andere Security Researcher wieder das eine oder andere gemeldet. Ich empfehle (wie immer) ein Durchschauen des offiziellen PDFs um herauszufinden, ob es relevante Hinweise für die eigene SAP-Landschaft gibt. Dort sind mittlerweile auch die direkten me.sap.com-Links enthalten. Alternativ bekommt man auch eine Hinweis-Übersicht über das SAP-Support-Portal mit dem Expert-Filter oben „Patch-Tag (Patch Day)“ zusammen mit „Freigegeben am“.

Zugriff auf das Betriebssystem bei IS-OIL

Ich gebe zu, dass ich im Urlaub den Juli-Patchday stillschweigend ignoriert habe, da im Prinzip nur die die Branchenlösung für die Petro-Industrie IS-OIL Hot-News war. Allerdings ist das auch ein Gedankenfehler von mir, denn IS-OIL ist leider in vielen Systemen mitinstalliert – auch wenn es gar nicht genutzt wird. Daher bitte schaut trotzdem auf den 3350297 – [CVE-2023-36922] OS command injection vulnerability in SAP ECC and SAP S/4HANA (IS-OIL), wenn ihr IS-OIL installiert habt und nicht nutzt. Im Hinweis steht, wie man herausfindet, ob IS-OIL geplant oder ungeplant aktiv ist. CVSS-Score ist 9.1/10.

Freier Datenbankzugriff und lokale Passwort-Hashes im SAP PowerDesigner

Wer seine Unternehmensarchitektur mit PowerDesigner pflegt sollte die PowerDesigner-Clients und den PowerDesigner-Proxy aktualisieren. Der Proxy lässt nicht authentifizierte Abfragen auf die Datenbank durch und die PowerDesigner-Clients laden zum Login erst einmal die Passwort-Hashes aus der Datenbank lokal um sie dort zu vergleichen. Das wirkt nicht sehr klug konstruiert und bekommt einen CVSS-Score von 9.8/10. Ärgerlich: man muss Proxy und Clients gleichzeitig updaten, ein Mischbetrieb ist nicht möglich. Details im Hinweis 3341460 – [CVE-2023-37483] Multiple Vulnerabilities in SAP PowerDesigner.

Honorable Mentions

Welche SAP Notes haben sich eine Erwähnung verdient, auch wenn sie nicht Hot genug waren (sprich CVSS-Score > 9.0/10)?

SAP Commerce Cloud hat manchmal leere Passwörter

Auf einen Score von 8.8/10 kommt eine Lücke, die man zweimal lesen muss. SAP Commerce Cloud erlaubte es bisher im Standard auch über externe Tools, User mit leeren Passwörtern anzulegen. Und die haben dann auch ohne Passwort funktioniert. Mit dem Patch ist das nun nicht mehr Standard. Update-Details im Hinweis 3346500 – [CVE-2023-39439] Improper authentication in SAP Commerce Cloud

Dateien überschreiben möglich mit NetWeaver BI_CONT Add-On

Ein eigentlich nur zum Testen gedachter Report ermöglicht es durch fehlende Berechtigungsprüfungen Dateien im Zugriff des SAP Systems zu überschreiben – auch um damit das System unbrauchbar zu machen. BI_CONT findet sich zum Beispiel in Solution Manager Systemen. Workaround ist das Löschen des Reports, empfohlen wird aber das Einspielen des Hinweises bzw. des Support Packages. Details im Hinweis 3331376 – [CVE-2023-33989] Directory Traversal vulnerability in SAP NetWeaver (BI CONT ADD ON)

Unterlagen und Links

• Offizielle Übersicht SAP Patchday (PDF)
• AK Security & Vulnerability Management AK
  • Online-Session “Diskussion zu ausgewählten SAP Security Notes ab 17.08.2023
  • Security Notes Webinar auf help.sap.com (ehemals SAP Security-Wiki)
• Nur warm: SAP UI5, SAP KM | SAP Security Patchday Juni 2023

Demnächst…

Wir berichten regelmäßig über SAP Sicherheit aus der Praxis. Am 24.08.2023 findet unser Webinar „Bessere SAP Berechtigungen ohne Ärger“ statt. Meldet euch gerne noch an. Weitere Webinare finden ihr hier.