SAP Web Dispatcher angreifbar | SAP Security Patchday November 2024

Im November gibt es erfreulicherweise keinen Hinweis mit der Einstufung „Hot News“ für Sicherheitslücken mit einem Risiko-Score CVSS >9.0. Auf der Support-Seite von SAP kann man die aktuellen Security Patch Day Details finden.

Hier ist ein anderer einfacher Weg zu den aktuellen Security Notes vom Patchday:

1. https://me.sap.com/app/securitynotes aufrufen (S-User erforderlich)
2. Optional: den CVSS-Score auf 8-10 einstellen, je nach Schutzbedarf
3. Spalte „Freigegeben am“ finden und dort alle Einträge seit dem letzten Patchday studieren – die Filterung auf den aktuellen Monat lässt leider Updates aus, die zwischen den Patchdays veröffentlicht worden sind. (Danke an Jan für diesen Hinweis!)

Link-Schwäche des SAP Web Dispatchers gefährdet System

Eine Cross-Site Scripting (XSS) Lücke wurde im SAP Web Dispatcher geschlossen. Diese erlaubte Angreifern einen manipulierten Link an Anwender zu senden. Damit hätte dann ein Angreifer fremd-gesteuerte Inhalte auf dem SAP Web Dispatcher ausführen können im Kontext der Berechtigungen des Opfers. Bei Usern mit administrativem Zugriff würde das zu einer Kompromittierung des Systems führen. Und sehr viele SAP Systeme haben heutzutage aus unterschiedlichen Gründen vorgeschaltete SAP Web Dispatcher.

Die Lösungsempfehlung ist wie so oft den neuesten SAP Web Dispatcher zu installieren – vielleicht im Rahmen eines Kernelupdates, dass vorgezogen wird. Es gibt aber auch Workarounds, die entweder entsprechende Berechtigungen entziehen und/oder die mehr oder weniger rabiat das Web-Interface zum Web Dispatcher deaktivieren.

Alle Details dazu im Hinweis 3520281 – [CVE-2024-47590] Cross-Site Scripting (XSS) vulnerability in SAP Web Dispatcher.

Unterlagen und Links

Das war es schon. Wie immer schaue ich hier nur auf das, was die Schwelle von CVSS-Score 8.0 überschreitet. Bitte schaut selbst nach, ob für eure Systemumgebung und euren Schutzbedarf nicht vielleicht doch etwas dabei ist.

• Alle Hinweise aus diesem Patchday: SAP Security Patch Day – November 2024
• AK Security & Vulnerability Management AK
  • Online-Session: “Diskussion zu ausgewählten SAP Security Notes” ab 21.11.2024
  • Security Notes Webinar auf help.sap.com
  • SAP Enterprise Project Connection | SAP Security Patchday Oktober 2024

Demnächst…

Expertenforum in Heidelberg: Sichere und kosteneffiziente Benutzer & Berechtigungen unter S/4HANA am 26.11.2024
So optimieren Sie Ihre Berechtigungen für S/4HANA und vermeiden kostspielige Fehler: Egal, ob Sie sich vor, mitten in der Migration befinden oder diese bereits abgeschlossen haben, Berechtigungen sind ein zentraler Aspekt jedes S/4HANA-Systems. Erfahren Sie deshalb, wie Sie effektiv mit den Herausforderungen der Berechtigungsverwaltung umgehen und wie Sie kostspielige Lizenzfallen vermeiden. Tauschen Sie sich in ungezwungener Atmosphäre und bei gutem Essen mit SAP-Berechtigungsverantwortlichen & Mitarbeitenden anderer Unternehmen aus. Die Veranstaltung ist für Sie kostenlos.
Mehr erfahren

SAP in der Cloud erfolgreich absichern: Von der Security-Architektur bis zum Pentest am 05.12.2024
Erfahren Sie, warum hybride SAP-Landschaften zunehmend angegriffen werden und wie regelmäßige Pentests helfen, Sicherheitslücken frühzeitig zu erkennen. Unsere Experten zeigen praxisnah, wie Sie Schwachstellen in der Cloud und bei APIs identifizieren und beheben. Entdecken Sie die wichtigsten Angriffsvektoren und schützen Sie Ihre SAP-Umgebung effektiv.
Mehr erfahren

Von Anfang an richtig: SAP Berechtigungen nach S/4HANA migrieren am 10.12.2024
Entdecken Sie im Webinar, was Sie für eine reibungslose Migration der SAP Berechtigungen nach S/4HANA benötigen. Erfahren Sie, wie Sie Ihre Berechtigungsstrukturen effektiv planen, optimieren und an die neuen Anforderungen von S/4HANA anpassen können.
Mehr erfahren