Behebung von fünf Schwachstellen


SAP Patch Day: Februar 2025 - Highlights der Analyse der SAP-Sicherheitshinweise
21 neue und aktualisierte SAP-Sicherheits-Patches wurden veröffentlicht, darunter sechs Hinweise mit hoher Priorität - SAP High Priority Notes – SAP NetWeaver AS Java und SAP Business Objects mit höchsten CVSS-Scores


SAP hat zum Patch Day im Februar 21 neue und aktualisierte SAP-Sicherheitshinweise veröffentlicht, darunter sechs High Priority Notes. Vier der 19 neuen Sicherheitshinweise wurden in Zusammenarbeit mit den Onapsis Research Labs bereitgestellt.

Die High Priority Notes im Detail
Der SAP-Sicherheitshinweis #3417627, der mit einem CVSS-Score von 8.8 versehen ist, ist ein Update für eine Cross-Site Scripting-Schwachstelle in SAP NetWeaver AS Java, die ursprünglich im Februar 2024 gemeldet wurde. Der aktualisierte Hinweis bezieht sich auf den neuen SAP-Sicherheitshinweis #3557138 mit einem CVSS-Score von 6.1. Erst mit diesem neuen Hinweis kann die Sicherheitslücke vollständig geschlossen werden.

Der Sicherheitshinweis #3525794 mit einem CVSS-Score von 8.7 behebt eine Schwachstelle in der Berechtigungsprüfung in der SAP BusinessObjects (SAP BO) Business Intelligence-Plattform. Die Schwachstelle betrifft die Central Management Console von SAP BO und ermöglicht es einem Angreifer mit weitreichenden Rechten, sich als einen beliebigen Benutzer im System auszugeben, indem er Zugriff auf die geheime Passphrase der entsprechenden Systeme erhält.

Der mit einem CVSS-Score von 8.6 bewertete SAP-Sicherheitshinweis #3567551 wurde in Zusammenarbeit mit den Onapsis Research Labs (ORL) gepatcht. Unser Team entdeckte eine kritische Path-Traversal-Schwachstelle in einem offen zugänglichen Servlet von SAP Supplier Relationship Management (Master Data Management Catalog). Dieses Servlet ermöglicht es einem nicht authentifizierten Angreifer, beliebige Dateien der Anwendung herunterzuladen und so Zugriff auf potenziell sensible Daten zu erhalten.

Der Hinweis #3567974 (CVSS-Score 8.1) betrifft SAP Approuter, einen Dienst, der als zentraler Einstiegspunkt für verschiedene Backend-Dienste und Anwendungen im SAP-Ökosystem fungiert. Das SAP Approuter Node.js-Paket, Version v16.7.1 und älter, ist anfällig für Authentifizierungsumgehung, was sich stark auf die Vertraulichkeit und Integrität der Anwendung auswirkt.

Der SAP-Sicherheitshinweis #3567172, der mit einem CVSS-Score von 7.5 eingestuft ist, adressiert mehrere Sicherheitslücken in SAP Enterprise Project Connection. Die Anwendung kann zur Integration von Daten zwischen bestimmten SAP-Anwendungen, wie z. B. Project System oder Maintenance Management, und ausgewählten Projektmanagement-Systemversionen von Drittanbietern wie Microsoft Project und Oracle Primavera verwendet werden. SAP Enterprise Project Connection verwendet Versionen der Open-Source-Bibliotheken von Spring Framework, die für CVE-2024-38819, CVE-2024-38820 und CVE-2024-38828 anfällig sein könnten. Hinweis: Nach Angaben von SAP endet das allgemeine Wartungsfenster für SAP Enterprise Project Connection 3.0 (SAP ENTERPR PROJ CONN 3.0) am 14. Oktober 2025.

Mit Hilfe des Teams der Onapsis Research Labs (ORL) wurde ein weiterer SAP-Sicherheitshinweis mit hoher Priorität gepatcht. Der Hinweis #3563929 mit dem CVSS-Score 7.1 behebt eine Open-Redirect-Schwachstelle in den erweiterten Application Services von SAP HANA. Das ORL-Team hat eine Sicherheitslücke im User Account and Authentication Service (UAA) identifiziert, die es nicht authentifizierten Angreifern ermöglicht, einen bösartigen Link zu erstellen, der, wenn er angeklickt wird, den Browser auf eine bösartige Website umleitet, weil die URL nicht ausreichend überprüft wurde.

Onapsis-Beitrag
Neben den High Priority SAP Security Notes #3567551 und #3563929 hat das Team der Onapsis Research Labs (ORL) an der Behebung von drei weiteren Schwachstellen zum SAP Patch Day im Februar beigetragen.

Der SAP-Sicherheitshinweis #3561264 mit einem CVSS-Score von 5.3 behebt eine Schwachstelle in SAP NetWeaver Application Server AS ABAP, durch die Informationen öffentlich zugänglich sind. Die Schwachstelle betrifft Kunden, die die ICF Services /sap/public/bc/workflow/shortcut bzw. /sap/bc/workflow/shortcut aktiviert haben. Ein Angreifer kann über die Angabe eines bestimmten Benutzers Zugriff auf sensible Informationen erhalten.

Der Sicherheitshinweis #3547581, der mit einem CVSS-Score von 4.3 versehen ist, schließt zwei Schwachstellen (Missing Authorization Check) in SAP NetWeaver und der ABAP-Plattform (ST-PI), die unbefugten Benutzern den Zugriff auf vertrauliche Systeminformationen ermöglichen.

Fazit
Mit 21 SAP-Sicherheitshinweisen, darunter sechs High Priority Notes, ist der SAP Patch Day im Februar besonders umfangreich. Wir freuen uns, dass unser Team aus den Onapsis Research Labs einmal mehr einen wichtigen Beitrag zur Sicherheit von SAP-Kunden auf der ganzen Welt leisten konnte. (Onapsis: ra)

eingetragen: 17.02.25

Onapsis: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Cyber-Angriffe

  • Signatur ist nicht gleich Signatur

    Geraten digitale Prozesse immer wieder ins Stocken, weil etwas unterzeichnet werden muss? Dann wird es Zeit, eine moderne Signaturlösung in die eigenen Abläufe zu integrieren. Bereits seit den 1970er Jahren wird immer wieder das papierlose Büro prognostiziert. Lange haben sich diese Prognosen eher als Papiertiger erwiesen, doch heute sind wir näher an der Umsetzung als je zuvor. In Zeiten von Tablets, 5G-Konnektivität und KI-Assistenten sind Ausdrucke für die meisten Büroangestellten eher zu einer Last geworden. Ganz verschwunden sind sie dennoch nicht und dafür sorgt nicht selten das Nadelöhr Unterschrift. Oft brechen an diesem Punkt Prozesse ab, die ansonsten vollständig digital ablaufen.

  • Identity Lifecycle Management

    Wirtschaftliche Veränderungen wirken sich auf nahezu alle Unternehmensbereiche aus. Immer betroffen ist die Belegschaft: Prosperiert ein Unternehmen, stellt es Leute ein, in Zeiten der Rezession versucht es durch Personalentlassungen Kosten einzusparen. In jedem Konjunkturzyklus, sei es Expansion, Rezession oder Erholung, entstehen durch personelle Fluktuation spezifische Herausforderungen für die Verwaltung von Mitarbeiter-, Kunden- und Partner-Identitäten - und somit auch für die IT-Sicherheit. Denn nicht mehr benötigten Nutzerkonten müssen Zugriffsrechte entzogen, neu angelegten solche gewährt werden und das alles in Einklang mit Unternehmens- und Compliance-Richtlinien. Den Lebenszyklus einer digitalen Identität zu verwalten, wird als Identity Lifecycle Management bezeichnet.

  • Datenklau als primäres Ziel

    Das Damoklesschwert Ransomware ist nicht neu, aber es schlägt immer etwas anders aus. Große Akteure wie LockBit und ALPHV/BlackCat sind scheinbar passé, doch in entstehende Lücken drängen neue, noch nicht etablierte Gruppen. Die Ransomware-as-a-Service (RaaS)-Gruppen revidieren zudem ihre interne Arbeitsaufteilung und -organisation. Selbst Staaten wie Russland und Nordkorea entdecken Ransomware als Einnahmequelle.

Die Krux mit der Priorisierung von Patches Phishing, immer ausgefeilter

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen