Drei hochkritische Sicherheitslücken, bewertet mit dem Common Vulnerability Scoring System auf über 9.0, sind zum SAP Patchday geschlossenen worden. Spielen Sie die bereitgestellten Korrekturanleitungen so schnell wie möglich in Ihre SAP-Systeme ein und beheben Sie die Schwachstellen!
Die SAP hat im März folgende kritische Sicherheitslücken bekanntgegeben:
- Code-Injection-Schwachstelle in SAP Manufacturing Integration and Intelligence [CVE-2021-21480]
- Fehlende Berechtigungsprüfung in SAP NetWeaver AS JAVA (MigrationService) [CVE-2021-21481]
- Fehlende Berechtigungsprüfung in SAP Solution Manager [CVE-2020-6207]
Sicherheitsupdates für Browser-Control Google Chromium in SAP Business Client stehen ebenfalls zur Installation bereit.
Code-Injection-Schwachstelle in SAP Manufacturing Integration and Intelligence [CVE-2021-21480]
Mit SAP MII können Benutzer Dashboards anlegen und diese über die SSCE (Self Service Composition Environment) als JSP (Java Server Pages) sichern. Ein Angreifer hat dann die Möglichkeit, eine Anfrage an den Server abzufangen, schädlichen JSP-Code in die Anfrage einzuschleusen und sie danach an den Server weiterzuleiten. Sobald Benutzern, die mindestens über die Rolle SAP_XMII_Developer verfügen, dieses Dashboard öffnen, spielt sich darin der schädliche Inhalt aus. Das führt zu einer Remote-Code-Execution auf dem Server. Der schädliche JSP-Code kann bestimmte Betriebssystembefehle enthalten, über die ein Angreifer sensible Dateien auf dem Server lesen, ändern oder auch löschen kann.
Betroffen sind die XMII Komponentenversionen 15.1 bis 15.4.
Spielen Sie auf diesen Systemen den Security Note ein, somit wird die Möglichkeit für das Schreiben einer JSP-Datei über den SSCE unterbunden.
Quelle: https://launchpad.support.sap.com/#/notes/3022622
Fehlende Berechtigungsprüfung in SAP NetWeaver AS JAVA (MigrationService) [CVE-2021-21481]
Im Migration Service wird keine Berechtigungsprüfung durchgeführt, wodurch nicht autorisierte Benutzer Zugriff auf Konfigurationsobjekte erlangen könnten. Um diese Sicherheitslücke zu beheben, spielen Sie eine neue Version von J2EE-APPS.SCA ein und starten Sie das System nach dem Patchen neu. Alternativ können Sie mithilfe der Note 3030298 eine temporäre Lösung ohne zwingenden Neustart implementieren, diese Lösung dient jedoch nicht als endgültige Maßnahme.
Quelle: https://launchpad.support.sap.com/#/notes/3022422
Fehlende Berechtigungsprüfung in SAP Solution Manager [CVE-2020-6207]
Auf GitHub wurde vor kurzem ein Skript veröffentlicht, mit welchem geprüft werden kann, ob die Schwachstelle [CVE-2020-6207] auf den eigenen Systemen ausnutzbar ist. Dieses Skript könnte von Angreifern modifiziert und für Angriffe verwendet werden. Denkbar ist die Durchführung eines Remote-Code-Execution Angriffs aus dem internen Netzwerk. Die Sicherheitslücke wurde von der SAP bereits mit einem Patch im letzten Jahr behoben.
Das Problem ist jedoch weiterhin für alle Kunden relevant, die SAP Solution Manager 7.2 mit einem Support-Package-Level niedriger als SP12 verwenden.
Um die Schwachstelle auf Ihren Systemen zu beheben, sollten Sie unbedingt den jeweiligen Patch für Ihren SP-Level einspielen.
Zuvor sind gegebenenfalls noch folgende Aktivitäten durchzuführen:
- Führen Sie die automatische Single-Sign-On Aktivität unter der Transaktion SOLMAN_SETUP durch. Gehen Sie für die Aktivierung wie folgt vor: Szenario übergreifende Konfiguration -> Obligatorische Konfiguration -> Infrastrukturvorbereitung: Konnektivität einrichten -> Konnektivität aktivieren.
- Stellen Sie sicher, dass Sie den Wartungsmodus über die Agentenverwaltungs-UI angewählt haben. Die Vorgehensweise hierfür wird im Release-Informationshinweis beschrieben, der für Ihren aktuell eingespielten SAP Solution Manager 7.2 Support Package Stack relevant ist, siehe SAP-Hinweis 1595736.
Quellen:
https://launchpad.support.sap.com/#/notes/2890213
https://github.com/chipik/SAP_EEM_CVE-2020-6207
Weitere Sicherheitslücken:
SAP schließt drei hochkritische Sicherheitslücken zum Dezember Patchday. Handeln Sie umgehend!