{"id":3275,"date":"2022-04-20T13:13:16","date_gmt":"2022-04-20T11:13:16","guid":{"rendered":"https:\/\/sast-solutions.de\/blog-de\/?p=3275"},"modified":"2022-04-20T13:14:11","modified_gmt":"2022-04-20T11:14:11","slug":"sap-patchday-wie-eine-gefundene-schwachstelle-den-weg-zum-patchen-schafft","status":"publish","type":"post","link":"https:\/\/sast-solutions.de\/blog-de\/2022\/04\/20\/sap-patchday-wie-eine-gefundene-schwachstelle-den-weg-zum-patchen-schafft\/","title":{"rendered":"SAP-Patchday: Wie eine gefundene Schwachstelle den Weg zum Patchen schafft"},"content":{"rendered":"

\"SASTJeden Monat ver\u00f6ffentlicht SAP am Patchday eine Sammlung neuer oder aktualisierter Hinweise zu Schwachstellen in der SAP-Software. Es ist f\u00fcr alle Security-Interessierten ein Pflichttermin im Kalender, das anschlie\u00dfende Patchen der Systeme dabei oftmals zeit- und arbeitsintensiv. Aber woher kommen die Meldungen und wie erf\u00e4hrt SAP davon? Sucht der Software-Hersteller bewusst nach L\u00fccken und behebt sie?<\/p>\n

<\/p>\n

 <\/p>\n

Wir haben uns in diesem Monat aktiv durch das Finden einer Sicherheitsl\u00fccke am SAP-Patchday beteiligt. Das gibt uns die Gelegenheit, die Struktur des Patchdays einmal genauer zu analysieren und den Prozess der Meldung zu beschreiben.<\/p>\n

Der aktuelle April-Patchday mit 31 Meldungen h\u00e4lt f\u00fcr 10 Sicherheitsl\u00fccken bereits vorhandene Updates bereit, 21 L\u00fccken sind neu. Doch wer meldet die Schwachstellen, geschieht dies SAP-intern oder extern? \u00dcberraschenderweise wurden dieses Mal von den insgesamt 31 L\u00fccken 5 von SAP und 26 von au\u00dferhalb gemeldet, \u00fcber 80% der Mitteilungen kamen also von extern. Ersichtlich ist das im jeweiligen SAP-Hinweis unter dem Feld \u201eExtern gemeldet\u201c, sehen Sie dort ein \u201eJa\u201c, kam die Meldung von Personen oder Organisationen au\u00dferhalb der SAP.<\/p>\n

Der hohe externe Anteil erkl\u00e4rt sich unter anderem damit, dass Schwachstellen auch durch die Abh\u00e4ngigkeit von SAP zu extern eingebundener Software entstehen, wie dies beispielsweise bei der vielfach genutzten Komponente Log4j der Fall ist.<\/p>\n

Der Prozess vom Finden einer Schwachstelle hin zur Meldung an SAP<\/strong><\/h2>\n

Im Rahmen einer Analyse haben wir eine .jsp (JAVA SERVER PAGE) in einem aktuellen SAP-System identifiziert. Die Datei hat analog einer alten Version zus\u00e4tzliche Codezeilen zur Authentifizierungspr\u00fcfung. Dies sorgte f\u00fcr Verwirrung, denn warum sollte SAP in einer aktuelleren Datei die Authentifizierung ausgebaut haben? M\u00f6gliche Antworten w\u00e4ren eine Neustrukturierung des Coding oder ein Relikt, also eine alte Datei aus einem fr\u00fcheren Release, die m\u00f6glicherweise noch im System vorhanden war.<\/p>\n

Einige Recherchen zeigten uns dann, dass es bereits in der Vergangenheit im gleichen Kontext eine Schwachstelle gab. Sie sollte ab einem bestimmten Patchstand behoben sein, den das System jedoch bei weitem \u00fcbertraf. Wir beauftragten daher umgehend SAP mit einer \u00dcberpr\u00fcfung.<\/p>\n

Zwei Wege, wie Sie eine Schwachstelle melden k\u00f6nnen<\/strong><\/h2>\n

Es besteht einerseits die M\u00f6glichkeit, eine Kundenmeldung zur betroffenen Komponente einzureichen. Ein weiterer Weg f\u00fchrt \u00fcber ein \u00f6ffentlich zug\u00e4ngliches Formular, das f\u00fcr Sicherheitsforscher gedacht ist. Da es sich um ein betroffenes Kundensystem handelte, haben wir uns in diesem Fall f\u00fcr die zweite L\u00f6sung entschieden.<\/p>\n

In dem Formular f\u00fcr Sicherheitsforscher<\/a> w\u00e4hlen Sie das Produkt, die betroffene Version und Plattform aus und vergeben einen Titel. Die Angaben dienen als Metainformationen der Meldung.<\/p>\n

Ausf\u00fchrliches Reporting zur Nachvollziehbarkeit<\/strong><\/h2>\n

Das Aufzeigen einer Sicherheitsl\u00fccke sollte immer mit einer guten Beschreibung einhergehen. Daher haben wir in einem Report die Schwachstelle selbst und die Vorgehensweise zur Auffindung beschrieben. Ziel ist hierbei eine maximale Nachvollziehbarkeit seitens des Herstellers zu erreichen. Durch die \u00c4hnlichkeit mit einer fr\u00fcheren Schwachstelle konnten wir sogar gleich eine konkrete Komponente mitgeben \u2013 hilfreich f\u00fcr SAP, um die Meldung an das zust\u00e4ndige Produktteam weiterzuleiten.<\/p>\n

Schnelle Abhilfe nach erfolgter Meldung <\/strong><\/h2>\n

Bereits einen Tag nach Absenden des Reports bekamen wir vom Product Security Response-Team eine Best\u00e4tigung mit eindeutiger Nummer unserer Meldung. Nur vier Tage sp\u00e4ter wurde unser Fund best\u00e4tigt, mit der Ank\u00fcndigung, die Sicherheitsl\u00fccke im April-Patchday zu fixen. SAP beantragte eine offizielle CVE-Nummer und patchte die gefundene Schwachstelle umgehend.<\/p>\n

Wir freuen uns \u00fcber die schnelle Reaktion seitens SAP und dar\u00fcber, dass wir in diesem Monat zur Verbesserung der SAP-Sicherheit beigetragen haben.<\/p>\n

Schieben Sie das Patchen Ihrer SAP-Systeme nicht auf die lange Bank und spielen Sie zeitnah die in den SAP-Sicherheitshinweisen genannten Korrekturen ein! Wenn Sie Fragen haben oder Unterst\u00fctzung bei der Absicherung Ihrer Systeme ben\u00f6tigen, besuchen Sie unsere Website<\/a> oder schreiben Sie uns<\/a> an.<\/p>\n

\"Alexander
\nAlexander Bertram (SAP Security Consultant, SAST SOLUTIONS)<\/strong><\/p>\n

 <\/p>\n

Weitere Infos zu SAP-Sicherheitsl\u00fccken:<\/h2>\n

SAP Patchday Februar: Hochkritische L\u00fccke in Kernkomponente bedroht zentrale SAP-Produkte (Stichwort ICMAD) \u2013 reagieren Sie sofort!<\/a><\/p><\/blockquote>\n