SAP Security Note Patch Day November 2023 | CommonCryptoLib

Kommentar verfassen / Von /

Liebe Leserinnen und Leser,

am 14. November 2023 hat SAP einen wichtigen Schritt zur Stärkung der Sicherheit seiner Produkte unternommen. Der SAP Security Patch Day sah die Veröffentlichung von drei neuen Security Notes sowie die Aktualisierung von drei weiteren. Diese Aktualisierungen sind entscheidend, um die SAP-Systeme gegen eine Vielzahl von Schwachstellen zu schützen. 

SAP Security Note Patch Day 2023-09 November

Was ist eigentlich die SAP CommonCryptoLib?

Die SAP CommonCryptoLib, eingeführt im November 2013, ist die technische Nachfolgerin der bekannten SAP Cryptographic Library (SAPCRYPTOLIB). Sie ist eine zentrale kryptografische Bibliothek, die verschiedene Sicherheitsfunktionen für SAP-Systeme bietet. Bitte beachten Sie das ggf. der Einsatz lizenzpflichtig sein könnte. Hier ist eine Zusammenfassung der Einsatzfelder der SAP CommonCryptoLib:

  • Ersatz der SAP Cryptographic Library: CommonCryptoLib kann entweder über den ABAP-Kernel oder über den SAP Service Marketplace bereitgestellt werden.
  • Abwärtskompatibilität: Sie ist vollständig kompatibel mit früheren Versionen der SAP Cryptographic Library.
  • Einsatz in SAP NetWeaver Application Server Java: Auch hier wird die CommonCryptoLib für kryptografische Funktionen genutzt.
  • Integrierte Funktionen: Ab SAP Single Sign-On 2.0 SP3 sind die Funktionen der Secure Login Library in die CommonCryptoLib integriert, was die Installation vereinfacht.
  • Konfigurationsdateien: Im Gegensatz zur Secure Login Library wird die CommonCryptoLib ohne Konfigurationsdateien geliefert, unterstützt aber alle konfigurierbaren Funktionen der früheren Bibliothek.
  • Zusatzfunktionen: Unterstützung von Hardware-Sicherheitsmodulen (HSM) und Zertifikatswiderrufslisten (CRLs) als Teil des SAP Single Sign-On Produkts.

ie CommonCryptoLib vereint die Funktionen der früheren Sicherheitsbibliotheken und bietet zusätzliche neue Funktionen. Sie erleichtert die Bereitstellung und erweitert die Sicherheitsfunktionen in SAP-Systemen. Zukünftige Verbesserungen werden ausschließlich in der CommonCryptoLib implementiert, weshalb ein Wechsel zu dieser neuen Bibliothek empfohlen wird. Weitere Informationen unter dem zentralen Hinweis 1848999 – Central Note for CommonCryptoLib 8 (SAPCRYPTOLIB)

Potenzielle Angriffsszenarien

Basierend auf den SAP Security Patch Day Notes vom November 2023, hier sind beispielhaft drei potenzielle Angriffsszenarien, die durch die adressierten Sicherheitslücken ermöglicht werden könnten:

  1. Ausnutzung der CommonCryptoLib Sicherheitslücke: Ein Angreifer könnte die fehlende Autorisierungsprüfung in der SAP CommonCryptoLib ausnutzen. Dies könnte es einem nicht autorisierten Benutzer ermöglichen, sich höhere Berechtigungen zu erschleichen. In einer Unternehmensumgebung könnte ein solcher Angriff dazu führen, dass der Angreifer vertrauliche Daten abfängt, manipuliert oder sogar den Systembetrieb stört. Beispielsweise könnte ein externer Angreifer oder ein Insider mit begrenzten Rechten unautorisierten Zugriff auf sensible Geschäftsdaten erhalten und diese zu kriminellen oder spionierenden Zwecken nutzen.
  2. Improper Access Control in SAP Business One: Die unzulängliche Zugriffskontrolle bei der Installation des SAP Business One Produkts könnte einem Angreifer ermöglichen, administrative Funktionen ohne die erforderliche Berechtigung zu nutzen. Ein mögliches Szenario wäre hier die unbefugte Modifikation von Geschäftsprozessen oder die Erstellung von Benutzerkonten mit erweiterten Rechten, was zu einer ernsthaften Unterbrechung der Geschäftsabläufe und einem möglichen Datenverlust führen könnte.
  3. Server-Side Request Forgery in SAP NetWeaver AS Java: Die SSRF-Schwachstelle (Server-Side Request Forgery) in der GRMG Heartbeat-Anwendung von SAP NetWeaver AS Java könnte es Angreifern ermöglichen, interne Systeme von außen zu beeinflussen. In einem solchen Szenario könnte ein Angreifer bösartige Anfragen an interne Netzwerkdienste senden, die eigentlich von außen nicht erreichbar sein sollten. Dies könnte zur Offenlegung interner Netzwerkstrukturen, zur Datenmanipulation oder sogar zum unbefugten Zugriff auf interne Dienste führen, was die Sicherheit des gesamten Unternehmensnetzwerks gefährden könnte.

Abhilfemaßnahmen

Die Abhilfemaßnahmen für die im November 2023 SAP Security Patch Day identifizierten Schwachstellen umfassen im Allgemeinen die folgenden Schritte:

  1. Patch-Implementierung:
    • Wichtigster Schritt: Aktualisieren Sie Ihre SAP-Systeme mit den neuesten Patches, die von SAP bereitgestellt werden. Diese Patches sind speziell entwickelt, um die identifizierten Sicherheitslücken zu schließen.
    • Kontinuierliche Überwachung: Stellen Sie sicher, dass Sie regelmäßige Updates durchführen und die Systeme auf dem neuesten Stand halten, um neue Sicherheitslücken zu vermeiden.
  2. Berechtigungsmanagement:
    • Überprüfung und Einschränkung: Überprüfen Sie die Benutzerberechtigungen, insbesondere in sensiblen Bereichen wie dem SAP Business One-Produkt. Stellen Sie sicher, dass nur autorisierte Benutzer Zugriff auf kritische Funktionen haben.
  3. Sicherheitskonfigurationen:
    • Verbesserung der Sicherheitskonfigurationen: Für Komponenten wie SAP NetWeaver AS Java, überprüfen und verbessern Sie die Konfigurationen, um SSRF (Server-Side Request Forgery) und ähnliche Angriffe zu verhindern.
  4. Netzwerksicherheit:
    • Firewall-Regeln und Segmentation: Nutzen Sie Netzwerk-Firewalls und -Segmentierung, um den Zugriff auf kritische Systeme zu kontrollieren und zu beschränken.
  5. Monitoring und Alerting:
    • Überwachungssysteme: Implementieren Sie Systeme zur Überwachung von Netzwerkverkehr und Benutzeraktivitäten, um ungewöhnliche Muster oder verdächtige Aktivitäten zu erkennen.
    • Alarmierung: Stellen Sie sicher, dass Sie Alarmierungssysteme eingerichtet haben, die Sie im Falle einer potenziellen Sicherheitsverletzung benachrichtigen.
  6. Sicherheitsbewusstsein und Schulung:
    • Mitarbeiterschulung: Schulen Sie Ihre Mitarbeiter in Bezug auf Cybersicherheit, um sie über die neuesten Bedrohungen und Best Practices aufzuklären.
  7. Backup und Recovery Pläne:
    • Datensicherungen: Stellen Sie sicher, dass regelmäßige Backups Ihrer wichtigen Daten durchgeführt werden, um im Falle eines Angriffs eine Wiederherstellung zu ermöglichen.
  8. Zusätzliche Sicherheitsmaßnahmen:
    • Verwendung von Security Tools: Nutzen Sie zusätzliche Sicherheitstools wie Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS), um Ihr Netzwerk zu schützen.

Indem Sie diese Abhilfemaßnahmen umsetzen, können Sie die Sicherheit Ihrer SAP-Systeme erheblich verbessern und sich gegen die Ausnutzung bekannter Schwachstellen schützen.

Veröffentlichte Sicherheitshinweise von SAP

  • SAP Note 3340576 | Update to Security Note released on September 2023 Patch Day: [CVE-2023-40309] Missing Authorization check in SAP CommonCryptoLib
  • SAP Note 3355658 | Improper Access Control vulnerability in SAP Business One product installation [CVE-2023-31403]
  • SAP Note 3333426 | Update to Security Note released on October 2023 Patch Day: [CVE-2023-42477] Server-Side Request Forgery in SAP NetWeaver AS Java (GRMG Heartbeat application)
  • SAP Note 2494184 | Update to Security Note released on August 2017 Patch Day: Cross-Site Request Forgery (CSRF) vulnerability in multiple SAP Sybase products
  • SAP Note 3362849 | Information Disclosure vulnerability in SAP NetWeaver Application Server ABAP and ABAP Platform [CVE-2023-41366]
  • SAP Note 3366410 | Information Disclosure in NetWeaver AS Java Logon [CVE-2023-42480]

Es ist immer wichtig, stets wachsam zu bleiben und sicherzustellen, dass Ihr SAP-System auf dem neuesten Stand ist. Das frühzeitige und konsequente Anwenden von Sicherheitspatches schützt nicht nur Ihre Daten, sondern auch die Integrität Ihres gesamten Unternehmens.

Bleiben Sie sicher und halten Sie Ihr System auf dem neuesten Stand!

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen