SAP Security Patch Day Januar 2023

Kommentar verfassen / Von /

Wichtige Hinweise für SAP Security Consultants: Highlights der SAP Security Notes vom 10. Januar 2023. Vor einigen Jahren gab es in einem Unternehmen eine unangenehme Situation, die zeigte, wie wichtig die Sicherheit von SAP-Systemen ist. An einem Montagmorgen stellte der SAP-Basisadministrator fest, dass das Unternehmen Opfer eines Ransomware-Angriffs geworden war. Die Angreifer hatten das SAP-System des Unternehmens infiltriert und wichtige Unternehmensdaten verschlüsselt. Der Zugriff auf wichtige Geschäftsdaten und Prozesse war blockiert, und das Unternehmen stand vor einem erheblichen finanziellen und operativen Schaden. Der Vorfall verdeutlichte die Notwendigkeit eines robusten Sicherheitskonzepts und einer proaktiven Herangehensweise an die Sicherheit von SAP-Systemen

SAP Security Patchday 2023-02 Februar
SAP Security Patchday

Sicherheit ist ein zentrales Thema für SAP-Systeme, und der SAP Security Patch Day stellt sicher, dass potenzielle Schwachstellen regelmäßig behoben werden. Der Januar 2023 war ein wichtiger Monat für SAP Security, da mehrere HotNews-Hinweise veröffentlicht wurden, die kritische Schwachstellen adressierten. In diesem Artikel werden die Highlights des Januar Patch Days behandelt und die Bedeutung von SAP Security im Jahr 2023 hervorgehoben.

Highlights des Januar Patch Days: Im Januar wurden insgesamt 12 neue und aktualisierte SAP Security Notes veröffentlicht, darunter vier neue HotNews-Hinweise. Hier sind die wichtigsten Informationen zu den Highlights:

  1. Aktualisierte HotNews-Hinweise: Drei der HotNews-Hinweise wurden aktualisiert, darunter die Hinweise #3267780 und #3273480, die ursprünglich im Dezember 2022 veröffentlicht wurden. Diese Hinweise beheben zwei Improper Access Control-Schwachstellen in SAP NetWeaver AS Java, die vom Onapsis Research Labs entdeckt wurden. Die aktualisierten Hinweise bieten Patches für zusätzliche Support Package Levels von SAP NW AS Java 7.50.

  2. SAP Security Note #3243924: Dieser Hinweis, mit einem CVSS-Score von 9,9, war der kritischste Patch des November 2022 Patch Days und betraf SAP BusinessObjects-Kunden. Das Update enthält eine Erweiterung des vorgeschlagenen Workarounds und erwähnt, dass zwei Webseiten nach der Anwendung des Workarounds nicht mehr zugänglich sind.

HotNews-Hinweise im Detail: Die neuen HotNews-Hinweise des Januar Patch Days beinhalten wichtige Schwachstellen, die besondere Aufmerksamkeit erfordern. Hier sind einige davon:

  1. SAP Security Note #3089413: Dieser Hinweis, mit einem CVSS-Score von 9,0, betrifft die Mehrheit der SAP-Kunden und ist möglicherweise der kritischste Hinweis des Januar Patch Days. Es handelt sich um eine Capture-Replay-Schwachstelle in der Architektur von vertrauenswürdigen RFC- und HTTP-Kommunikationsszenarien, die es bösartigen Benutzern ermöglicht, unberechtigten Zugriff auf ein SAP-System zu erhalten. Die Behebung dieser Schwachstelle erfordert die Anwendung eines Kernel-Patches, eines ABAP-Patches und eine manuelle Migration aller vertrauenswürdigen RFC- und HTTP-Zielobjekte. Auch die Entwicklungsteams müssen beteiligt sein, um den Code anzupassen, wenn dynamische Ziele in kundeneigenem Code verwendet werden. Kunden sollten unbedingt eine Sicherung ihrer Systeme vor dem Patching durchführen, da unvorhergesehene Probleme auftreten können.

  2. SAP Security Note #3262810: Dieser Hinweis behebt eine kritische Code-Injection-Schwachstelle in der SAP BusinessObjects Business Intelligence-Plattform (Analysis edition for OLAP). Ein authentifizierter Angreifer kann diese Schwachstelle über das Netzwerk ausnutzen und eine hohe Auswirkung auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung verursachen. Der Hinweis enthält einen Patch und einen Workaround für Kunden, die den Patch nicht sofort implementieren können.

  3. SAP Security Note #3275391: Dieser Hinweis behebt eine Schwachstelle, die es einem nicht authentifizierten Angreifer ermöglicht, manipulierte Datenbankabfragen in SAP Business Planning and Consolidation Microsoft (SAP BPC MS) auszuführen. Durch die ausgenutzten Abfragen können beliebige Daten in der Backend-Datenbank gelesen, geändert oder gelöscht werden.

Bedeutung von SAP Security im Jahr 2023: Die Veröffentlichung mehrerer HotNews-Hinweise im Januar 2023 unterstreicht die Bedeutung von SAP Security in diesem Jahr. Die Schwachstellen, die in den Hinweisen behoben wurden, können schwerwiegende Auswirkungen auf die Sicherheit und Integrität von SAP-Systemen haben. Es ist daher von entscheidender Bedeutung, dass SAP-Administratoren regelmäßig die neuesten Sicherheitspatches implementieren und ihre Systeme schützen.

Fazit: Der SAP Security Patch Day im Januar 2023 brachte wichtige Updates und HotNews-Hinweise mit sich, die kritische Schwachstellen in verschiedenen SAP-Systemen behoben haben. Die Sicherheit von SAP-Systemen sollte auch weiterhin ein prioritäres Thema für Unternehmen sein, da die Bedrohungslandschaft ständig weiterentwickelt wird. Es ist ratsam, regelmäßig die SAP Security Notes zu überprüfen und die empfohlenen Patches zu implementieren, um die Sicherheit der Systeme zu gewährleisten.

  • 3262810 [CVE-2023-0022] Code Injection vulnerability in SAP BusinessObjects Business Intelligence platform (Analysis edition for OLAP)
  • 3150704 [CVE-2023-0023] Information Disclosure in SAP Bank Account Management (Manage Banks)
  • 3283283 [CVE-2023-0013] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform
  • 3268093 [CVE-2023-0017] Improper access control in SAP NetWeaver AS for Java
  • 3266006 [CVE-2023-0018] Cross-Site Scripting (XSS) vulnerability in SAP BusinessObjects Business Intelligence Platform (Central management console)
  • 3089413 [CVE-2023-0014] Capture-replay vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform
  • 3275391 [CVE-2023-0016] SQL Injection vulnerability in SAP Business Planning and Consolidation MS
  • 3251447 [CVE-2023-0015] Cross-Site Scripting (XSS) vulnerability in SAP BusinessObjects Business Intelligence (Web Intelligence)
  • 3276120 [CVE-2023-0012] Local Privilege Escalation in SAP Host Agent (Windows)
  • 3243924 [CVE-2022-41203] Insecure Deserialization of Untrusted Data in SAP BusinessObjects Business Intelligence Platform (Central Management Console and BI Launchpad)

Ziele und Vorsätze für SAP Basis im Jahr 2023:

  1. Aktualisierung auf die neueste SAP-Version: Ein wichtiges Ziel für das Jahr 2023 sollte die Aktualisierung auf die neueste Version von SAP sein. Neue Versionen enthalten oft verbesserte Sicherheitsfunktionen und -patches, die dazu beitragen können, potenzielle Schwachstellen zu minimieren und die Systemsicherheit zu stärken.

  2. Implementierung von Sicherheitsrichtlinien: Es ist entscheidend, klare Sicherheitsrichtlinien und -verfahren zu definieren und zu implementieren. Dies umfasst die Festlegung von Zugriffsrechten, die regelmäßige Überprüfung von Benutzerberechtigungen, das Aktualisieren von Passwortrichtlinien und das Durchführen regelmäßiger Sicherheitsaudits.

  3. Aktualisierung von Systemkomponenten: Neben der Aktualisierung der SAP-Version ist es wichtig, auch andere Systemkomponenten regelmäßig zu aktualisieren, wie z.B. Datenbanken, Betriebssysteme und Middleware. Durch die Installation von Sicherheitspatches und Updates können potenzielle Schwachstellen in diesen Komponenten behoben werden.

  4. Umsetzung von regelmäßigen Backups: Die Durchführung regelmäßiger Backups der SAP-Systeme ist von entscheidender Bedeutung, um im Falle von Datenverlust oder Systemausfällen eine schnelle Wiederherstellung zu ermöglichen. Es ist wichtig, sowohl Datenbankbackups als auch Systemimage-Backups durchzuführen und sicherzustellen, dass die Backups an einem sicheren Ort aufbewahrt werden.

  5. Überwachung der Systemsicherheit: Eine kontinuierliche Überwachung der Systemsicherheit ist unerlässlich, um potenzielle Angriffe oder ungewöhnliche Aktivitäten frühzeitig zu erkennen. Die Implementierung von Sicherheitsüberwachungstools und die regelmäßige Durchführung von Sicherheitsaudits können dabei helfen, Sicherheitslücken zu identifizieren und geeignete Gegenmaßnahmen zu ergreifen.

  6. Schulung und Weiterbildung: Fortlaufende Schulungen und Weiterbildungen für das SAP-Basis-Team sind von großer Bedeutung, um über aktuelle Sicherheitsthemen, Best Practices und neue Technologien auf dem Laufenden zu bleiben. Dies kann dazu beitragen, das Sicherheitsbewusstsein zu stärken und das Team mit den erforderlichen Kenntnissen und Fähigkeiten auszustatten, um sicherheitsrelevante Aufgaben effektiv zu bewältigen.

  7. Zusammenarbeit mit Security-Experten: Die Zusammenarbeit mit externen Sicherheitsexperten kann wertvolle Einblicke und Unterstützung bieten. Externe Experten können bei der Durchführung von Sicherheitsaudits, der Identifizierung von Schwachstellen und der Entwicklung von Sicherheitsstrategien behilflich sein.

Indem diese Ziele und Vorsätze im Jahr 2023 umgesetzt werden, können SAP-Basis-Administratoren dazu beitragen, die Sicherheit der SAP-Systeme zu verbessern und die Risiken von Sicherheitsvorfällen zu minimieren.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen