SAP Patchday September: Zwei neue Security Notes mit Score über 9.0 – die wichtigsten Keyfacts

SAP hat gleich mehrere Sicherheitshinweise für den Patch Tuesday im September 2023 bekannt gegeben und fünf dieser Security Notes haben die höchste HotNews-Prioritätsstufe (CVSS-Scores zwischen 9.0 und 10.0). Dabei handelt es sich um zwei neu veröffentlichte Sicherheitshinweise und drei Aktualisierungen bereits bekannter Meldungen.

Beheben Sie diese Schwachstellen schnellstmöglich und spielen Sie die bereitgestellten Korrekturanleitungen in Ihre SAP-Systeme ein!

Neu herausgegebene HotNews, hochkritische Sicherheitshinweise:

Security Note 3320355 – [CVE-2023-40622] hat eine CVSS-Bewertung von 9,9 erhalten und behebt eine „Offenlegungsanfälligkeit in SAP BusinessObjects Business Intelligence Platform (Promotion Management)“. Konkret ist der Job-Ordner der Komponente Promotion Management anfällig für die Offenlegung von Informationen. Wenn diese Schwachstelle erfolgreich ausgenutzt wird, können sensible Informationen in Kundensystemen preisgegeben werden und Angreifer wären in der Lage, diese Informationen zu nutzen, um die Vertraulichkeit, Integrität und Verfügbarkeit der Zielanwendung vollständig zu beeinträchtigen. Obwohl die Schwachstelle nur von einem authentifizierten Benutzer ausgenutzt werden kann, ist die hohe Einstufung durch die katastrophalen Folgen eines erfolgreichen Angriffs gerechtfertigt. Als Abhilfe empfiehlt SAP, nur den tatsächlich notwendigen Benutzern die entsprechenden Rechte für den Zugriff und die Durchführung von Maßnahmen über das Aktionsmanagement einzuräumen. Normale User haben standardmäßig keine Ansichtsrechte. Benutzern der Gruppe Administratoren sollten jedoch explizit die Ansichtsrechte auf den Ordner für Beförderungsaufträge verweigert werden.

Security Note 3340576 – [CVE-2023-40309] hat einen CVSS-Wert von 9,8 und behebt eine „fehlende Berechtigungsprüfung in SAP CommonCryptoLib“. Die Überprüfung von JavaScript Web Tokens (JWT) und Raw Signatures könnte missglücken, was zu fehlenden oder fehlerhaften Berechtigungsprüfungen in der aufrufenden Applikation führt. Dies kann zu einer unzulässigen Eskalation der Privilegien führen. Abhängig von der Anwendung und dem Grad der erlangten Privilegien können Angreifer auf eingeschränkte Daten zugreifen, diese ändern oder löschen oder sogar die betroffene Anwendung vollständig kompromittieren. Um das Problem zu beheben empfiehlt SAP, CommonCryptoLib 8.5.50 (oder höher) herunterzuladen und zu installieren. Eine provisorische Lösung für diese Schwachstelle gibt es derzeit nicht.

Aktualisierte, hochkritische HotNews:

Security Note 2622660 ist ein regelmäßiger Patch. Er bietet Sicherheitsupdates für die Google Chromium Browsersteuerung, die mit dem SAP Business Client ausgeliefert wird. Mit diesem Sicherheitshinweis sollen mehrere Schwachstellen in der Chromium-Browsersteuerung behoben werden. Wenn Sie Ihren SAP Business Client nicht auf den neuesten Patch-Level aktualisieren, kann die Anzeige von Webseiten Ihr System anfällig für Speicherbeschädigungen oder für die Offenlegung von Informationen machen.

Zu den identifizierten Auswirkungen dieser Schwachstellen gehören

• Offenlegung von Systeminformationen oder schlimmstenfalls Ausfall des Systems
• Mögliche direkte Konsequenzen für die Vertraulichkeit, Verfügbarkeit und Integrität des Systems
• Exfiltrierte Informationen können zur Initiierung weiterer Angriffe genutzt werden

Security Note 3273480 – [CVE-2022-41272] hat eine CVSS-Bewertung von 9,9 und bezieht sich auf „Unzulässige Zugriffskontrollen in SAP NetWeaver AS Java (User Defined Search)“. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er nicht autorisierte Operationen durchführen, die Benutzer und Daten im gesamten Zielsystem betreffen. Insbesondere kann er vollen Lesezugriff auf sensible Benutzerdaten erlangen, einschränkende Änderungen vornehmen und die Systemleistung beeinträchtigen, was letztlich erhebliche Auswirkungen auf die Vertraulichkeit hat und zu Einschränkungen der Integrität und Verfügbarkeit der Anwendung führen kann.

Dieses Patch-Update erfolgt, weil der Sicherheitshinweis zuvor versehentlich entfernt wurde.

Security Note 3245526 – [CVE-2023-25616] hat einen CVSS-Wert von 9.9 und behebt eine „Code-Injection-Schwachstelle in SAP Business Objects Business Intelligence Platform (CMC)“. Es handelt sich um ein Update zu einem Patch, der ursprünglich im März 2023 veröffentlicht wurde, um eine Code-Injection-Schwachstelle zu beheben, die einem Angreifer den Zugriff auf sensible Ressourcen mit nicht autorisierten erweiterten Privilegien ermöglichen könnte. Wird diese Schwachstelle erfolgreich ausgenutzt, kann die Vertraulichkeit, Integrität und Verfügbarkeit des Systems erheblich beeinträchtigt werden. Als Lösung hat SAP die optionale Auswahl „Use Impersonation“ aus CMC → Application → Central Management Console (CMC) → Program Object Rights geändert, das Feld wird jetzt automatisch ausgewählt. Der Hinweis wurde als Update mit aktualisierten Patch-Levels für die „Support Packages & Patches“-Informationen nun erneut veröffentlicht.

Informationen über weitere neu freigegebene Sicherheitshinweise mit hoher Priorität finden Sie in unserem englischen Blog.

Patchen Sie Ihre Systeme proaktiv und frühzeitig – wir unterstützen Sie dabei!

Die monatlichen Sicherheitspatches, die am SAP Patch Tuesday veröffentlicht werden, sind entscheidend für die Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit (CIA) Ihrer SAP-Systeme. Sie beheben kritische Schwachstellen, die von böswilligen Angreifern immer wieder ausgenutzt werden, um Unternehmensdaten und -prozesse zu gefährden. Die Vernachlässigung dieser wichtigen SAP-Sicherheitsmaßnahme kann zu kostspieligen Datenschutzverletzungen, Systemausfallzeiten und potenziellen Imageschäden führen. Mit einem effektiven monatlichen Patch-Management-Plan können Sie sich proaktiv vor Cyber-Bedrohungen schützen. Wir unterstützen Sie mit unseren fortschrittlichen Analyse- und Automatisierungslösungen, damit Sie kritische Schwachstellen und Systembedrohungen kontinuierlich identifizieren können. Für weitere Informationen kontaktieren Sie uns gerne.

Englischer Originalbeitrag von Jordan Tunks (Product Marketing Manager Pathlock)