SAP Security Patch Day September 2023 – SAP CommonCryptoLib

Der SAP Security Patch Day für September 2023 hat mehrere wichtige Updates in den SAP-Systemen enthüllt. Dieser Artikel prüft die Schwachstellen, gibt einen Überblick über die Schweregrade und bietet Ratschläge zur Bewältigung der identifizierten Probleme. Die SAP CommonCryptoLib ist kaputt: Ein kritischer Blick auf die Sicherheitslücke in allen NetWeaver-Komponenten und SAP HANA.

Eines dieser zentralen Systeme, das im Mittelpunkt dieses Artikels steht, ist die SAP CommonCryptoLib.

Die Herzstück-Software von SAP
Die SAP CommonCryptoLib ist weit mehr als nur ein weiteres Softwarestück in SAP-Produkten. Es handelt sich um die zentrale Software, die verantwortlich ist für die Verschlüsselung von SNC (Secure Network Communication), den Schutz von http-Datenverkehr und das Management von Zertifikaten. Kurz gesagt, sie ist der Schlüssel zu allem, was in SAP mit Vertraulichkeit und Integrität zu tun hat.

Was ist schiefgelaufen?
Trotz ihrer kritischen Bedeutung für SAP-Systeme weist die CommonCryptoLib einen schwerwiegenden Fehler auf. Dieser Fehler ermöglicht es Angreifern, Schwachstellen in der Authentifizierung auszunutzen. Das Endergebnis? Ein Angreifer könnte sich höhere Systemrechte verschaffen, um auf sensible Daten zuzugreifen und Systemeinstellungen zu manipulieren. Der Schweregrad dieses Fehlers wird durch einen CVSS-Score von 9.8 von 10 Punkten unterstrichen, was auf ein sehr hohes Risikolevel hinweist.

Wie kann das Problem gelöst werden?
Die gute Nachricht ist, dass SAP bereits Maßnahmen ergriffen hat, um dieses Problem anzugehen. Für viele SAP NetWeaver-Systeme steht ein Update bereit, das entweder durch einen neuen Kernel oder durch einen Hotfix installiert werden kann. Aber die Herausforderung hört hier nicht auf. Weitere Systeme, wie der SAP Web Dispatcher, Host Agents, Content Server, SAP HANA Datenbanken und XSA, müssen ebenfalls aktualisiert werden, um sich vor dieser Bedrohung zu schützen.

Für diejenigen, die tiefer in das Thema eintauchen möchten oder sich über die Details des Patches informieren wollen, verweise ich auf den Hinweis von SAP: 3340576 – [CVE-2023-40309] Missing Authorization check in SAP CommonCryptoLib. Dort finden Sie nicht nur eine ausführliche Liste aller betroffenen Komponenten, sondern auch einen Link zu einem FAQ, der häufig gestellte Fragen zu diesem Thema beantwortet.

Wie lässt sich die SAP CommonCryptoLib Version überprüfen?

1. Mittels ABAP Stack kann die Transaktion STRUSTSSO2 genutzt werden.
2. Im Menü „Umfeld“ wählen und dann den Menüpunkt „SSF Version anzeigen“ auswählen.
3. Im erscheinenden SAP popup wird die aktive SAP CommonCryptoLib version angezeigt.

HotNews

• BI-BIP-CMC [CVE-2023-25616]: Code Injection vulnerability in SAP Business Objects Business Intelligence Platform (CMC) with a CVSS score of 9.9. First released on 14.03.2023, updated on 12.09.2023.
• BI-BIP-LCM [CVE-2023-40622]: Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Promotion Management) with a CVSS score of 9.9. Released on 12.09.2023.
• BC-IAM-SSO-CCL [CVE-2023-40309]: Missing Authorization check in SAP CommonCryptoLib with a CVSS score of 9.8. Released on 12.09.2023.
• BC-FES-BUS-DSK [CVE-2023-40624]: Security updates for the browser control Google Chromium delivered with SAP Business Client with a CVSS score of 10.0. First released on 10.04.2018, updated on 12.09.2023.
• BC-XI-CON-UDS [CVE-2022-41272]: Improper access control in SAP NetWeaver AS Java (User Defined Search) with a CVSS score of 9.9. First released on 13.12.2022, updated on 12.09.2023.

High Priority

• BI-RA-WBI-FE [CVE-2023-42472]: Insufficient File type validation in SAP BusinessObjects Business Intelligence Platform (Web Intelligence HTML interface) with a CVSS score of 8.7. Released on 12.09.2023.
• BC-CCM-HAG [CVE-2023-40308]: Memory Corruption vulnerability in SAP CommonCryptoLib with a CVSS score of 7.5. Released on 12.09.2023.

Medium Priority

• BC-SYB-PD [CVE-2023-40621]: Code Injection vulnerability in SAP PowerDesigner Client with a CVSS score of 6.3. Released on 12.09.2023.
• MM-FIO-PUR-SQ-CON [CVE-2023-40625]: Missing Authorization check in Manage Purchase Contracts App with a CVSS score of 5.4. Released on 12.09.2023.
• BC-GP [CVE-2023-41367]: Missing Authentication check in SAP NetWeaver (Guided Procedures) with a CVSS score of 5.3. Released on 12.09.2023.
• BI-BIP-LCM [CVE-2023-37489]: Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Version Management System) with a CVSS score of 5.3. Released on 12.09.2023.
• FS-QUO [CVE-2023-40308]: Denial of service (DOS) vulnerability due to the usage of vulnerable version of Commons FileUpload in SAP Quotation Management Insurance (FS-QUO) with a CVSS score of 5.7. Released on 12.09.2023.
• BC-WD-UR [CVE-2023-40624]: Code Injection vulnerability in SAP NetWeaver AS ABAP (applications based on Unified Rendering) with a CVSS score of 5.5. Released on 12.09.2023.
• BI-BIP-INS [CVE-2023-40623]: Arbitrary File Delete via Directory Junction in SAP BusinessObjects Suite(installer) with a CVSS score of 6.2. Released on 12.09.2023.

Low Priority

• FI-FIO-AP-CHK [CVE-2023-41368]: Insecure Direct Object Reference (IDOR) vulnerability in SAP S/4HANA (Manage checkbook apps) with a CVSS score of 2.7. Released on 12.09.2023.
• FI-FIO-AP [CVE-2023-41369]: External Entity Loop vulnerability in SAP S/4HANA (Create Single Payment application) with a CVSS score of 3.5. Released on 12.09.2023.

Für detaillierte Informationen zu allen oben genannten und anderen Patches, besuchen Sie bitte das offizielle SAP Support Portal.

Es ist immer wichtig, stets wachsam zu bleiben und sicherzustellen, dass Ihr SAP-System auf dem neuesten Stand ist. Das frühzeitige und konsequente Anwenden von Sicherheitspatches schützt nicht nur Ihre Daten, sondern auch die Integrität Ihres gesamten Unternehmens.

Bleiben Sie sicher und halten Sie Ihr System auf dem neuesten Stand!