SAP Patch Day: Januar 2025


SAP-Sicherheitshinweise im Januar 2025: 13 neue SAP-Sicherheits-Patches wurden veröffentlicht, darunter zwei HotNews-Hinweise und drei Hinweise mit hoher Priorität
Kritische Sicherheitslücken in SAP NetWeaver AS for ABAP und ABAP Platform können zu einer vollständigen Systemkompromittierung führen


Die Onapsis Research Labs (ORL) haben SAP auch im Januar 2025 dabei unterstützt, zwei kritische Sicherheitslücken in SAP NetWeaver AS for ABAP und ABAP Platform zu schließen. Beide sind mit einem CVSS-Score von 9,9 gekennzeichnet und betreffen HTTP-Kommunikationsszenarien.

Der Sicherheitshinweis #3537476 adressiert eine Schwachstelle bezüglich unzulässiger Authentifizierung, durch die ein Angreifer Anmeldedaten aus einer internen RFC-Kommunikation zwischen Server A (HTTP-Client) und Server B (der die Anfrage bedient) desselben Systems abgreifen kann. Diese Anmeldeinformationen können dann dazu verwendet werden, eine neue HTTP-Kommunikation zwischen einem externen Programm C und Server A zu starten, die sich als Aufrufer gegenüber Server A ausgibt. Dies hat starke Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung.

Die zweite HotNews-Schwachstelle wurde in einem Test-Report entdeckt, der unbeabsichtigt an Kunden ausgeliefert wurde. Unter bestimmten Bedingungen erlauben SAP NetWeaver AS for ABAP und die ABAP Platform (Internet Communication Framework) einem Angreifer, entschlüsselte Klartext-Anmeldeinformationen auszulesen, die für die Kommunikation mit anderen Systemen erforderlich sind. Dies stellt nicht nur ein hohes Risiko für das lokale System dar, sondern kann auch schwerwiegende Folgen für andere Systeme haben. Der im SAP-Sicherheitshinweis #3550708 enthaltene Patch deaktiviert den anfälligen Report.

Die neue High Note im Detail
Der SAP-Sicherheitshinweis #3550816, der mit einem CVSS-Score von 8.8 versehen ist, deaktiviert einige remote bedienbare Funktionsmodule, die von einem Angreifer dazu verwendet werden könnten, SQL-Code beim Zugriff auf Informix-Datenbanken einzuschleusen. Dies ermöglicht es ihnen, die Kontrolle über die Daten in der betroffenen Datenbank zu erlangen, was zur vollständigen Kompromittierung der Vertraulichkeit, Integrität und Verfügbarkeit führt.

Der SAP-Sicherheitshinweis #3474398 behebt zwei Schwachstellen in der "SAP BusinessObjects Business Intelligence Platform":

Eine Information-Disclosure-Sicherheitslücke, die mit einem CVSS-Score von 8.7 gekennzeichnet ist, ermöglicht es einem nicht authentifizierten Angreifer, über das Netzwerk ohne Benutzerinteraktion ein Session-Hijacking vorzunehmen. Angreifer können auf die Daten des betroffenen Nutzers in der Anwendung zugreifen und diese verändern und so die Vertraulichkeit und Integrität des Systems stark beeinträchtigen.

Eine Schwachstelle durch Code-Injection, bewertet mit einem CVSS-Score von 6.5, ermöglicht es einem authentifizierten Benutzer mit eingeschränktem Zugriff, bösartigen JS-Code einzuschleusen. Mit diesem Code können sensible Informationen vom Server gelesen und an den Angreifer gesendet werden. Anschließend könnte der Angreifer diese Informationen nutzen, um sich als Benutzer mit starken Rechten auszugeben, was die Vertraulichkeit und Integrität der Anwendung erheblich gefährdet.
Der Sicherheitshinweis #3542533, der mit einem CVSS-Score von 7.8 gekennzeichnet ist, beschreibt eine DLL-Hijacking-Schwachstelle in SAPSetup. Die Schwachstelle ermöglicht es einem Angreifer mit lokalen Benutzerrechten oder mit Zugriff auf das Windows-Konto eines kompromittierten Unternehmensbenutzers, umfassendere Berechtigungen zu erlangen. Dies kann zu weitreichenden Schäden hinsichtlich der Vertraulichkeit, Integrität und Verfügbarkeit des Windows-Servers führen, da die Berechtigungen genutzt werden können, um sich seitlich im Netzwerk zu bewegen und das Active Directory des Unternehmens zu kompromittieren.

Onapsis-Beitrag
Das Team der Onapsis Research Labs hat an beiden HotNews-Schwachstellen mitgewirkt. Zudem konnte es einige remote bedienbare Funktionsmodule patchen, die nicht auf entsprechende Berechtigungen prüfen. Ein authentifizierter Angreifer kann so auf eigentlich gesperrte Informationen, was geringe Auswirkungen auf die Sicherheit der Anwendung hat. Der SAP Security Note #3550674, der mit einem CVSS-Score von 4,3 versehen ist, patcht diese Funktionsmodule durch Deaktivierung.

Fazit
Das Jahr 2025 beginnt für SAP-Kunden mit der Bekanntgabe einiger kritischer Sicherheitslücken, die umgehend gepatcht werden müssen. Die meisten SAP-Systeme sind ohne Patches einem hohen Risiko ausgesetzt, da die Schwachstellen SAP NetWeaver AS for ABAP und die ABAP-Plattform betreffen. Die Onapsis Research aktualisieren bereits die Onapsis-Plattform, um die neu veröffentlichten Schwachstellen in das Produkt zu integrieren. (Onapsis: ra)

eingetragen: 19.01.25
Newsletterlauf: 17.03.25

Onapsis: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>


Meldungen: Security-Tipps und Background-Wissen

  • Schutz vor Deepfakes gestaltet sich schwierig

    Ohne Zweifel: Die künstliche Intelligenz wird auch das Jahr 2025 bestimmen, auch und insbesondere in der Cybersecurity. Eines der Felder, in der sie schon einige Zeit eingesetzt wird, sind mittels Midjourney und ähnlichen Tools erstellte Fake-Bilder. Ein echter Meilenstein war hier wohl das Bild vom Papst in der weißen Daunenjacke, das im März 2023 veröffentlicht wurde und tatsächlich von vielen auch technisch versierten Menschen für echt gehalten wurde.

  • Zertifikatssicherheit im gesamten Unternehmen

    Digitale Zertifikate ermöglichen eine sichere Ende zu Ende-Datenübertragungen zwischen den verschiedenen Kommunikationsendpunkten eines Netzwerks. Das Management der Zertifikate - von der Beantragung, über die Erstellung, bis hin zum Widerruf oder zur Erneuerung - erfolgt in aller Regel manuell. Sehr oft steht dem zuständigen IT-Fachpersonal hierzu nur ein Excel-Sheet zur Verfügung.

  • Prognosen für die OT-Sicherheit in 2025

    Für das Jahr 2025 erwarten die ThreatLabZ-Researcher von Zscaler eine wachsende Angriffswelle auf kritische Infrastrukturen, Produktionsanlagen und Cloud-native Anwendungen. Gerade die Bereiche der Fertigungsindustrie, Krankenhäuser, Transport- oder Energienetze waren schon immer schwer gegen Angriffe von außen abzusichern, da diese Branchen mit ungeschützten OT-/IoT-Endpunkten agieren, die keine Sicherheitsagenten hosten können. Die CISA hat einen massiven Anstieg der Echtzeitüberwachung von SCADA-Geräten durch Bedrohungsgruppen gemeldet, die auf ungeschützte Sensoren, Headless-Geräte und ältere Controller abzielt.

Neue Gesetze erhöhen den Druck Rollenspiele für die Cybersicherheit

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen