Vier hochkritische Sicherheitslücken – jeweils bewertet mit dem Common Vulnerability Scoring System auf > 9.0 – sind im November von der SAP geschlossenen worden. Dies zeigt einmal mehr, dass es unbedingt erforderlich ist, sich monatlich mit den Ergebnissen des SAP Patchdays zu beschäftigen.
Handeln Sie daher umgehend, minimieren Sie die Sicherheitsrisiken und spielen Sie regelmäßig die Security Notes in Ihre SAP-Systeme ein!
Die SAP hat im November folgende kritische Sicherheitslücken bekanntgegeben:
- Netweaver Application Server for Java (UDDI Server) CVE-2020-26820
- AS ABAP und S/4HANA (DMIS) CVE-2020-26808
- SAP Solution Manager (JAVA stack) [Mehrere CVE-IDs]
- SAP Data Services (4.2) [Mehrere CVE-IDs]
Netweaver Application Server for Java (UDDI Server) CVE-2020-26820
Über den UDDI-Server von SAP NetWeaver Application Server für Java hat ein Angreifer die Möglichkeit, beliebige Betriebssystembefehle auszuführen, ohne über die erforderlichen Berechtigungen zu verfügen (Schwachstelle für die Rechteausweitung). Mögliche Auswirkungen sind eine vollständige Gefährdung der Vertraulichkeit, Integrität und Verfügbarkeit des Server-Betriebssystems.
Die Voraussetzungen, um diesen Angriff ausführen zu können, sind Zugriff auf den NetWeaver Administrator und NWA_SUPERADMIN-Berechtigungen.
Quelle: https://launchpad.support.sap.com/#/notes/2979062/D
AS ABAP und S/4 HANA (DMIS) CVE-2020-26808
Mit SAP AS ABAP und SAP S/4HANA kann ein authentifizierter Angreifer beliebigen Code in die Anwendung einschleusen und die Ausführungsweise ändern. Aufgrund fehlender Eingabevalidierung ist ein Angreifer, dem Zugriff (S_RFC) zum Ausführen des Funktionsbausteins gewährt wurde, in der Lage, schädlichen ABAP-Code einzuschleusen, der persistent in einem Report im ABAP Repository gespeichert wird. Unter Verwendung des Remote-Funktionsbausteins besteht dann die Möglichkeit, diesen Report ohne zusätzliche Berechtigungsprüfungen auszuführen. Durch die erfolgreiche Ausnutzung der identifizierten Schwachstelle kann der Angreifer die vollständige Kontrolle über das betroffene System übernehmen.
Quelle: https://launchpad.support.sap.com/#/notes/2973735/D
SAP Solution Manager (JAVA stack) [Mehrere CVE-IDs]
Im SAP Solution Manger fehlen einige Berechtigungsprüfungen, so dass ein nicht authentifizierter Angreifer das System kompromittieren kann. Dies wirkt sich sowohl auf die Integrität als auch auf die Verfügbarkeit der Services aus.
Folgende Services sind betroffen:
- SVG Converter Service CVE-2020-26821
- Outside Discovery Configuration Service CVE-2020-26822
- Upgrade Diagnostics Agent Connection Service CVE-2020-26823
- Upgrade Legacy Ports Service CVE-2020-26824
Diese Schwachstelle lässt sich auf allen SAP Solution Managern mit einem Support Package < SP11 ausnutzen.
Quelle: https://launchpad.support.sap.com/#/notes/2985866
SAP Data Services (4.2) [Mehrere CVE-IDs]
SAP Data Services ermöglicht einem nicht authentifizierten Angreifer, eine böswillige Anforderung zu senden, die zu einer Remote-Codeausführung führen könnte. Das Problem wird durch eine unzureichende Eingabevalidierung verursacht. Eine erfolgreiche Ausnutzung führt zu einer vollständigen Kompromittierung in Bezug auf die Systemvertraulichkeit, -integrität und -verfügbarkeit. CVE-2019-0230
SAP Data Services bietet einem nicht authentifizierten Angreifer zudem die Möglichkeit, Zugriffsberechtigungen zu überschreiben, die beim Hochladen einer Datei zu einem Denial-of-Service führen können. Bei erfolgreicher Nutzung kann der Angreifer die Verfügbarkeit der Anwendung vollständig gefährden. CVE-2019-0233
Diese Schwachstelle lässt sich auf SAP Data Services mit einem Support Package < SP012 ausnutzen.
Quelle: https://launchpad.support.sap.com/#/notes/2982840