SAP-Patchday: Wie eine gefundene Schwachstelle den Weg zum Patchen schafft

SAST Ad-hoc: SAP Hot News - Top Priority NotesJeden Monat veröffentlicht SAP am Patchday eine Sammlung neuer oder aktualisierter Hinweise zu Schwachstellen in der SAP-Software. Es ist für alle Security-Interessierten ein Pflichttermin im Kalender, das anschließende Patchen der Systeme dabei oftmals zeit- und arbeitsintensiv. Aber woher kommen die Meldungen und wie erfährt SAP davon? Sucht der Software-Hersteller bewusst nach Lücken und behebt sie?

 

Wir haben uns in diesem Monat aktiv durch das Finden einer Sicherheitslücke am SAP-Patchday beteiligt. Das gibt uns die Gelegenheit, die Struktur des Patchdays einmal genauer zu analysieren und den Prozess der Meldung zu beschreiben.

Der aktuelle April-Patchday mit 31 Meldungen hält für 10 Sicherheitslücken bereits vorhandene Updates bereit, 21 Lücken sind neu. Doch wer meldet die Schwachstellen, geschieht dies SAP-intern oder extern? Überraschenderweise wurden dieses Mal von den insgesamt 31 Lücken 5 von SAP und 26 von außerhalb gemeldet, über 80% der Mitteilungen kamen also von extern. Ersichtlich ist das im jeweiligen SAP-Hinweis unter dem Feld „Extern gemeldet“, sehen Sie dort ein „Ja“, kam die Meldung von Personen oder Organisationen außerhalb der SAP.

Der hohe externe Anteil erklärt sich unter anderem damit, dass Schwachstellen auch durch die Abhängigkeit von SAP zu extern eingebundener Software entstehen, wie dies beispielsweise bei der vielfach genutzten Komponente Log4j der Fall ist.

Der Prozess vom Finden einer Schwachstelle hin zur Meldung an SAP

Im Rahmen einer Analyse haben wir eine .jsp (JAVA SERVER PAGE) in einem aktuellen SAP-System identifiziert. Die Datei hat analog einer alten Version zusätzliche Codezeilen zur Authentifizierungsprüfung. Dies sorgte für Verwirrung, denn warum sollte SAP in einer aktuelleren Datei die Authentifizierung ausgebaut haben? Mögliche Antworten wären eine Neustrukturierung des Coding oder ein Relikt, also eine alte Datei aus einem früheren Release, die möglicherweise noch im System vorhanden war.

Einige Recherchen zeigten uns dann, dass es bereits in der Vergangenheit im gleichen Kontext eine Schwachstelle gab. Sie sollte ab einem bestimmten Patchstand behoben sein, den das System jedoch bei weitem übertraf. Wir beauftragten daher umgehend SAP mit einer Überprüfung.

Zwei Wege, wie Sie eine Schwachstelle melden können

Es besteht einerseits die Möglichkeit, eine Kundenmeldung zur betroffenen Komponente einzureichen. Ein weiterer Weg führt über ein öffentlich zugängliches Formular, das für Sicherheitsforscher gedacht ist. Da es sich um ein betroffenes Kundensystem handelte, haben wir uns in diesem Fall für die zweite Lösung entschieden.

In dem Formular für Sicherheitsforscher wählen Sie das Produkt, die betroffene Version und Plattform aus und vergeben einen Titel. Die Angaben dienen als Metainformationen der Meldung.

Ausführliches Reporting zur Nachvollziehbarkeit

Das Aufzeigen einer Sicherheitslücke sollte immer mit einer guten Beschreibung einhergehen. Daher haben wir in einem Report die Schwachstelle selbst und die Vorgehensweise zur Auffindung beschrieben. Ziel ist hierbei eine maximale Nachvollziehbarkeit seitens des Herstellers zu erreichen. Durch die Ähnlichkeit mit einer früheren Schwachstelle konnten wir sogar gleich eine konkrete Komponente mitgeben – hilfreich für SAP, um die Meldung an das zuständige Produktteam weiterzuleiten.

Schnelle Abhilfe nach erfolgter Meldung

Bereits einen Tag nach Absenden des Reports bekamen wir vom Product Security Response-Team eine Bestätigung mit eindeutiger Nummer unserer Meldung. Nur vier Tage später wurde unser Fund bestätigt, mit der Ankündigung, die Sicherheitslücke im April-Patchday zu fixen. SAP beantragte eine offizielle CVE-Nummer und patchte die gefundene Schwachstelle umgehend.

Wir freuen uns über die schnelle Reaktion seitens SAP und darüber, dass wir in diesem Monat zur Verbesserung der SAP-Sicherheit beigetragen haben.

Schieben Sie das Patchen Ihrer SAP-Systeme nicht auf die lange Bank und spielen Sie zeitnah die in den SAP-Sicherheitshinweisen genannten Korrekturen ein! Wenn Sie Fragen haben oder Unterstützung bei der Absicherung Ihrer Systeme benötigen, besuchen Sie unsere Website oder schreiben Sie uns an.

Alexander Bertram (SAST SOLUTIONS)
Alexander Bertram (SAP Security Consultant, SAST SOLUTIONS)

 

Weitere Infos zu SAP-Sicherheitslücken:

SAP Patchday Februar: Hochkritische Lücke in Kernkomponente bedroht zentrale SAP-Produkte (Stichwort ICMAD) – reagieren Sie sofort!

SAP Patchday Januar: Mit LOG4J ins neue Jahr. Wir entdeckten eine weitere Lücke und fassen die wichtigsten Keyfacts zusammen.