SAP Patch Day: Januar 2025


SAP-Sicherheitshinweise im Januar 2025: 13 neue SAP-Sicherheits-Patches wurden veröffentlicht, darunter zwei HotNews-Hinweise und drei Hinweise mit hoher Priorität
Kritische Sicherheitslücken in SAP NetWeaver AS for ABAP und ABAP Platform können zu einer vollständigen Systemkompromittierung führen


Die Onapsis Research Labs (ORL) haben SAP auch im Januar 2025 dabei unterstützt, zwei kritische Sicherheitslücken in SAP NetWeaver AS for ABAP und ABAP Platform zu schließen. Beide sind mit einem CVSS-Score von 9,9 gekennzeichnet und betreffen HTTP-Kommunikationsszenarien.

Der Sicherheitshinweis #3537476 adressiert eine Schwachstelle bezüglich unzulässiger Authentifizierung, durch die ein Angreifer Anmeldedaten aus einer internen RFC-Kommunikation zwischen Server A (HTTP-Client) und Server B (der die Anfrage bedient) desselben Systems abgreifen kann. Diese Anmeldeinformationen können dann dazu verwendet werden, eine neue HTTP-Kommunikation zwischen einem externen Programm C und Server A zu starten, die sich als Aufrufer gegenüber Server A ausgibt. Dies hat starke Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung.

Die zweite HotNews-Schwachstelle wurde in einem Test-Report entdeckt, der unbeabsichtigt an Kunden ausgeliefert wurde. Unter bestimmten Bedingungen erlauben SAP NetWeaver AS for ABAP und die ABAP Platform (Internet Communication Framework) einem Angreifer, entschlüsselte Klartext-Anmeldeinformationen auszulesen, die für die Kommunikation mit anderen Systemen erforderlich sind. Dies stellt nicht nur ein hohes Risiko für das lokale System dar, sondern kann auch schwerwiegende Folgen für andere Systeme haben. Der im SAP-Sicherheitshinweis #3550708 enthaltene Patch deaktiviert den anfälligen Report.

Die neue High Note im Detail
Der SAP-Sicherheitshinweis #3550816, der mit einem CVSS-Score von 8.8 versehen ist, deaktiviert einige remote bedienbare Funktionsmodule, die von einem Angreifer dazu verwendet werden könnten, SQL-Code beim Zugriff auf Informix-Datenbanken einzuschleusen. Dies ermöglicht es ihnen, die Kontrolle über die Daten in der betroffenen Datenbank zu erlangen, was zur vollständigen Kompromittierung der Vertraulichkeit, Integrität und Verfügbarkeit führt.

Der SAP-Sicherheitshinweis #3474398 behebt zwei Schwachstellen in der "SAP BusinessObjects Business Intelligence Platform":

Eine Information-Disclosure-Sicherheitslücke, die mit einem CVSS-Score von 8.7 gekennzeichnet ist, ermöglicht es einem nicht authentifizierten Angreifer, über das Netzwerk ohne Benutzerinteraktion ein Session-Hijacking vorzunehmen. Angreifer können auf die Daten des betroffenen Nutzers in der Anwendung zugreifen und diese verändern und so die Vertraulichkeit und Integrität des Systems stark beeinträchtigen.

Eine Schwachstelle durch Code-Injection, bewertet mit einem CVSS-Score von 6.5, ermöglicht es einem authentifizierten Benutzer mit eingeschränktem Zugriff, bösartigen JS-Code einzuschleusen. Mit diesem Code können sensible Informationen vom Server gelesen und an den Angreifer gesendet werden. Anschließend könnte der Angreifer diese Informationen nutzen, um sich als Benutzer mit starken Rechten auszugeben, was die Vertraulichkeit und Integrität der Anwendung erheblich gefährdet.
Der Sicherheitshinweis #3542533, der mit einem CVSS-Score von 7.8 gekennzeichnet ist, beschreibt eine DLL-Hijacking-Schwachstelle in SAPSetup. Die Schwachstelle ermöglicht es einem Angreifer mit lokalen Benutzerrechten oder mit Zugriff auf das Windows-Konto eines kompromittierten Unternehmensbenutzers, umfassendere Berechtigungen zu erlangen. Dies kann zu weitreichenden Schäden hinsichtlich der Vertraulichkeit, Integrität und Verfügbarkeit des Windows-Servers führen, da die Berechtigungen genutzt werden können, um sich seitlich im Netzwerk zu bewegen und das Active Directory des Unternehmens zu kompromittieren.

Onapsis-Beitrag
Das Team der Onapsis Research Labs hat an beiden HotNews-Schwachstellen mitgewirkt. Zudem konnte es einige remote bedienbare Funktionsmodule patchen, die nicht auf entsprechende Berechtigungen prüfen. Ein authentifizierter Angreifer kann so auf eigentlich gesperrte Informationen, was geringe Auswirkungen auf die Sicherheit der Anwendung hat. Der SAP Security Note #3550674, der mit einem CVSS-Score von 4,3 versehen ist, patcht diese Funktionsmodule durch Deaktivierung.

Fazit
Das Jahr 2025 beginnt für SAP-Kunden mit der Bekanntgabe einiger kritischer Sicherheitslücken, die umgehend gepatcht werden müssen. Die meisten SAP-Systeme sind ohne Patches einem hohen Risiko ausgesetzt, da die Schwachstellen SAP NetWeaver AS for ABAP und die ABAP-Plattform betreffen. Die Onapsis Research aktualisieren bereits die Onapsis-Plattform, um die neu veröffentlichten Schwachstellen in das Produkt zu integrieren. (Onapsis: ra)

eingetragen: 19.01.25
Newsletterlauf: 17.03.25

Onapsis: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Security-Tipps und Background-Wissen

  • Hinter den Kulissen der Hacktivisten

    Check Point Software Technologies bietet Einblicke in die Machenschaften der Hacktivisten-Gruppen, die zu einer wachsenden Bedrohung geworden sind. Hacktivismus hat sich von digitalen Protesten zu ausgeklügelten, staatlich geförderten Cyber-Operationen entwickelt. Check Point Research (CPR) analysierte 20 000 Nachrichten von 35 Hacktivisten-Gruppen mithilfe von maschinellem Lernen und linguistischer Analyse, um verborgene Zusammenhänge und Handlungsmuster aufzudecken. Die Untersuchung zeigt, wie geopolitische Ereignisse solche Aktivitäten antreiben, wobei einige Gruppen während Krisen wieder auftauchen, um gezielte Angriffe durchzuführen.

  • Robuster Disaster-Recovery-Plan erfordert

    Eine aktuelle Studie von Microsoft Security belegt, dass eines von drei KMU sich in den letzten 12 Monaten gegen einen Cyberangriff wehren musste. Diese ernüchternde Statistik zeigt, dass zahlreichen kleinen oder mittelständischen Unternehmen ein robuster Disaster-Recovery-Plan fehlt. Dabei könnte es schon helfen, eine lokale Datensicherung zu etablieren.

  • Dem Software-Lieferketten-Risiko begegnen

    In den vergangenen Jahren mussten sich IT-Sicherheitsverantwortliche und ihre Teams zunehmend mit Cyberrisiken auseinandersetzen, die mit den Software-Lieferketten ihrer Anbieter und Partner in Zusammenhang stehen. Immer häufiger machen Cyberkriminelle Schwachstellen in Entwicklungspipelines, Open-Source-Komponenten und Drittanbieter-Integrationen zu einem integralen Bestandteil ihrer Angriffsvektoren.

Neue Gesetze erhöhen den Druck Rollenspiele für die Cybersicherheit

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen