SAP Security Note Patch Day Dezember 2023 | SAP Business Technology Platform (BTP)

Kommentar verfassen / Von /

Liebe Leserinnen und Leser,

der SAP Security Patch Day am 12. Dezember 2023 brachte siebzehn neue und aktualisierte Sicherheitspatches, darunter vier HotNews-Notizen und vier Notizen mit hoher Priorität. Besonders hervorzuheben sind dabei zwei Updates, die sich auf eine kritische Schwachstelle zur Befehlsinjektion in IS-OIL beziehen, sowie ein wichtiger Patch für die SAP BTP Security Services Integration Libraries.

SAP Security Note Patch Day 2023-09 November

Was ist jetzt auf der SAP Business Technology Platform (BTP) zu tun?

SAP hat kürzlich einen wichtigen Sicherheitshinweis für die SAP Business Technology Platform (BTP) veröffentlicht. Dieser Hinweis behandelt ein kritisches Problem der Rechteausweitung innerhalb der SAP BTP Security Services Integration Libraries. Um mögliche Ausnutzungen zu verhindern, werden spezifische Details der Schwachstelle nicht offen gelegt. Dennoch ist es essentiell, dass alle BTP-Nutzer diesen Hinweis prüfen und entsprechende Maßnahmen ergreifen. Der Sicherheitshinweis 3411067 adressiert ein kritisches Problem der Rechteausweitung in den SAP BTP Security Services Integration Libraries. Verschiedene Programmiersprachen und Bibliotheksversionen sind betroffen, darunter Node.js, Java, Python und Golang. Auch bestimmte Versionen der Programmierinfrastruktur auf SAP BTP sind betroffen. Bei erfolgreicher Ausnutzung könnte ein unauthentifizierter Angreifer willkürliche Berechtigungen innerhalb einer Anwendung erlangen. Die Sicherheitslücke wurde in den neuesten Versionen der SAP BTP Security Services Integration Libraries behoben.

Schritte zur Behebung:

  • Nutzer sollten alle vorhandenen Bibliotheksreferenzen auf die neueste Version aktualisieren.
  • Für verschiedene Programmierinfrastrukturen wie das Cloud Application Programming Model (CAP) und das SAP Java Buildpack gibt es spezifische Anweisungen zur Aktualisierung.
  • Es gibt keine Workarounds; eine Aktualisierung ist unerlässlich.

Die Sicherheit der SAP BTP-Umgebungen ist eine gemeinsame Verantwortung. Durch die schnelle Reaktion auf Sicherheitshinweise wie den 3411067 tragen wir gemeinsam zu einer sichereren digitalen Landschaft bei. Es wird dringend empfohlen, diesen Sicherheitshinweis sorgfältig zu prüfen und umgehend zu handeln.

Potenzielle Angriffsszenarien SAP BTP Security Service Integration

In einem hypothetischen Angriffsszenario, das sich aus den Informationen des SAP BTP Sicherheitshinweises 3411067 ableiten lässt, könnten Angreifer die Schwachstelle in den SAP BTP Security Services Integration Libraries ausnutzen, um eine Rechteausweitung (Privilege Escalation) vorzunehmen. Hier ist ein detailliertes Szenario:

Schritt 1: Zugriff durch Ausnutzung der Schwachstelle

Ein Angreifer, der zunächst keine Authentifizierung oder Berechtigung innerhalb der SAP BTP-Umgebung hat, nutzt die Sicherheitslücke in einer der betroffenen Libraries (z.B. @sap/xssec in Node.js oder com.sap.cloud.security in Java) aus. Dies könnte durch das Senden speziell konstruierter Anfragen an die Anwendung geschehen, die aufgrund der Schwachstelle die Sicherheitsprüfungen umgehen.

Schritt 2: Erlangung erweiterter Berechtigungen

Nachdem der Eingriff erfolgreich war, könnte der Angreifer willkürlich Berechtigungen innerhalb der Anwendung erlangen. Dies bedeutet, dass der Angreifer nun Aktionen ausführen kann, die normalerweise streng regulierten und authentifizierten Nutzern vorbehalten sind. Beispielsweise könnten sie auf vertrauliche Daten zugreifen, Systemkonfigurationen ändern oder sogar administrative Kontrollen übernehmen.

Schritt 3: Potenzielle Ausweitung des Angriffs

Mit erweiterten Berechtigungen könnte der Angreifer weitere Angriffsvektoren innerhalb des Unternehmensnetzwerks untersuchen. Sie könnten versuchen, sich seitwärts zu bewegen, um Zugang zu anderen Systemen zu erhalten, oder weitere Sicherheitslücken in der IT-Infrastruktur ausnutzen.

Schritt 4: Datenexfiltration oder Sabotage

Der Angreifer könnte vertrauliche Unternehmensdaten entwenden oder manipulieren. In einem ernsteren Szenario könnten sie sogar Sabotage betreiben, indem sie kritische Geschäftsprozesse stören oder Systeme außer Betrieb setzen.

Präventive Maßnahmen

Um solche Szenarien zu verhindern, ist es unerlässlich, dass Unternehmen die im Sicherheitshinweis 3411067 bereitgestellten Updates umgehend implementieren. Durch die Aktualisierung der betroffenen Libraries auf die neuesten Versionen können solche Angriffe verhindert werden.

Fazit

Dieses Szenario unterstreicht die Wichtigkeit eines proaktiven Sicherheitsmanagements und der schnellen Reaktion auf Sicherheitshinweise. In der dynamischen Welt der Cyber-Sicherheit ist es entscheidend, stets wachsam zu bleiben und Systeme kontinuierlich auf dem neuesten Stand zu halten. Der Dezember Patch Day zeigt erneut, dass auch bei der Nutzung von Cloud-Lösungen wie SAP BTP eigene Sicherheits- und Patchprozesse unerlässlich sind. Durch die zeitnahe Adressierung solcher Sicherheitshinweise wie #3411067 tragen wir gemeinsam zu einer sichereren und geschützteren digitalen Landschaft bei.

Veröffentlichte Sicherheitshinweise von SAP

  • SAP Note 2622660  | Security updates for the browser control Google Chromium delivered with SAP Business Client – 43rd Update
  • SAP Note 3411067  | [Multiple CVEs] Escalation of Privileges in SAP Business Technology Platform (BTP) Security Services Integration Libraries
  • SAP Note 3399691 | Update 1 to 3350297 – [CVE-2023-36922] OS command injection vulnerability in SAP ECC and SAP S/4HANA (IS-OIL)
  • SAP Note 3350297 | [CVE-2023-36922] OS command injection vulnerability in SAP ECC and SAP S/4HANA (IS-OIL)
  • SAP Note 3394567 | [CVE-2023-42481] Improper Access Control vulnerability in SAP Commerce Cloud
  • SAP Note 3382353   | [CVE-2023-42478] Cross site scripting vulnerability in SAP BusinessObjects Business Intelligence Platform
  • SAP Note 3385711 | [CVE-2023-49580] Information disclosure vulnerability in SAP GUI for WIndows and SAP GUI for Java
  • SAP Note 3406244  | [CVE-2023-6542] Missing Authorization Check in SAP EMARSYS SDK ANDROID
  • SAP Note 3369353  | [CVE-2023-42476] Cross Site Scripting vulnerability in SAP BusinessObjects Web Intelligence
  • SAP Note 3395306 | [CVE-2023-49587] Command Injection vulnerability in SAP Solution Manager
  • SAP Note 3383321 | [CVE-2023-42479] Cross-Site Scripting (XSS) vulnerability in SAP Biller Direct
  • SAP Note 3217087 | [CVE-2023-49577] Cross-Site Scripting (XSS) vulnerability in the SAP HCM (SMART PAYE solution)
  • SAP Note 3159329 | Denial of service (DoS) vulnerability in JSZip library bundled within SAPUI5
  • SAP Note 3406786 | [CVE-2023-49584] Client-Side Desynchronization vulnerability in SAP Fiori Launchpad
  • SAP Note 3392547 | [CVE-2023-49581] SQL Injection vulnerability in SAP NetWeaver Application Server ABAP and ABAP Platform
  • SAP Note 3363690 | [CVE-2023-49058] Directory Traversal vulnerability in SAP Master Data Governance
  • SAP Note 3362463 | [CVE-2023-49578] Denial of service (DOS) in SAP Cloud Connector

Es ist immer wichtig, stets wachsam zu bleiben und sicherzustellen, dass Ihr SAP-System auf dem neuesten Stand ist. Das frühzeitige und konsequente Anwenden von Sicherheitspatches schützt nicht nur Ihre Daten, sondern auch die Integrität Ihres gesamten Unternehmens.

Bleiben Sie sicher und halten Sie Ihr System auf dem neuesten Stand!

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen