SAP Security Patch Day Juni 2023

Kommentar verfassen / Von /

Liebe Leserinnen und Leser,

mit einer Tasse Kaffee in der Hand sitzen Sie vielleicht an Ihrem Arbeitsplatz und fragen sich, was der SAP Security Patch Day im Juni 2023 für Sie bereithält. Am 13.06.2023 war es wieder soweit – der zweite Dienstag des Monats brachte neue Sicherheitshinweise von SAP. Dieses Mal wurden acht neue Security Notes und fünf Updates zu vorhergehenden Patchdays veröffentlicht. Sicherheit hat in unserer digitalen Welt einen hohen Stellenwert und in diesem Kontext spielen solche Aktualisierungen eine entscheidende Rolle.

SAP Security Patchday 2023-06 Juni

Die Monate Mai und Juni mögen auf den ersten Blick ruhiger erscheinen, doch auch hier wurden Sicherheitslücken aufgedeckt und behoben. Seien es nun Hinweise von SAP oder von anderen Security Researchern, jedes Detail zählt. Denn in einer Welt, in der Cyber-Angriffe immer raffinierter und häufiger werden, ist es unsere Pflicht, uns bestmöglich zu schützen. Besondere Aufmerksamkeit verdient der SAP UI5-Hinweis. Wenn Sie Fiori nutzen, sollten Sie hier unbedingt genauer hinsehen. Auch das SAP Knowledge Warehouse verdient Beachtung. Es ist immer empfehlenswert, das offizielle PDF durchzuschauen und zu prüfen, ob es relevante Hinweise für Ihre eigene SAP-Landschaft gibt.

Nun, lassen Sie uns tiefer in die Materie eintauchen.

Die Highlights des Juni 2023 SAP Security Patch Day sind dreizehn neue und aktualisierte SAP-Sicherheitspatches. Besonders hervorzuheben ist hier Cross-Site Scripting (XSS). Insgesamt wurden acht Hinweise veröffentlicht, die diese Schwachstelle in verschiedenen Komponenten beheben. Und obwohl keine „Hot News“ gemeldet wurden, sind diese Updates alles andere als trivial. Zwei der High Priority Notes, #3326210 und #3324285, betreffen die SAPUI5 Komponente. Der erste Hinweis wurde am Patch Day im Mai veröffentlicht und wird nun mit einer aktualisierten Lösung und einem Workaround erneut veröffentlicht. Der zweite Hinweis ist einer der acht XSS-Sicherheitshinweise und betrifft das UI5-Management. Darüber hinaus konnten die Onapsis Research Labs eine Schwachstelle im Transport Management System identifizieren und beheben, die zu einem Denial of Service führen kann. Es zeigt sich also, dass die kontinuierliche Verbesserung der Sicherheit von SAP-Systemen eine Gemeinschaftsanstrengung ist. Letztlich lässt sich feststellen, dass der SAP Security Patch Day Juni 2023 zwar keine explosiven Neuigkeiten mit sich brachte, aber dennoch wichtige Updates für Ihre SAP-Landschaft. Jeder Patch, jedes Update ist ein weiterer Schritt, um die Cyber-Resilienz zu stärken.

Die PCo Sicherheitslücke [CVE-2022-22542] „Missing Authentication in SAP Plant Connectivity and Production Connector for SAP Digital Manufacturing“ lässt darauf schließen, dass ein Angreifer potenziell Zugang zu den betroffenen Systemen im Fertigungsumfeld erhalten könnte, ohne sich ordnungsgemäß zu authentifizieren. Je nachdem, welche Rechte ein Angreifer durch Ausnutzung dieser Sicherheitslücke erhält, können verschiedene Arten von Angriffen durchgeführt werden. Das könnte die folgenden Auswirkungen haben:

Datenzugriff: Ein Angreifer könnte auf sensible Daten zugreifen, die auf dem betroffenen System gespeichert sind. Dazu könnten unternehmenskritische Informationen, persönliche Informationen von Mitarbeitern oder Kunden, Finanzdaten usw. gehören.

Manipulation von Daten: Neben dem Zugriff auf Daten besteht die Möglichkeit, dass ein Angreifer auch in der Lage ist, Daten zu manipulieren. Dies könnte zu falschen Berichten, irreführenden Analysen und fehlerhaften Geschäftsentscheidungen führen.

Ausführung von Code: In einigen Fällen könnte ein Angreifer in der Lage sein, eigenen Code auf dem betroffenen System auszuführen. Dies könnte es ihm ermöglichen, Kontrolle über das System zu erlangen, zusätzliche Schadsoftware zu installieren oder weitere Angriffe auf andere Systeme im Netzwerk durchzuführen.

Verlust der Kontrolle: Schlimmstenfalls könnte ein Angreifer in der Lage sein, vollständige Kontrolle über das betroffene System zu erlangen. Dies könnte es ihm ermöglichen, das System auszuschalten, den Betrieb zu stören, oder es für Angriffe auf andere Systeme zu verwenden.

Reputationsschaden: Bei einem erfolgreichen Angriff kann auch erheblicher Reputationsschaden für das betroffene Unternehmen entstehen. Kunden und Partner könnten Vertrauen in das Unternehmen verlieren und sich für Konkurrenten entscheiden.

Daher mein Appell an Sie: Vernachlässigen Sie nicht die Wichtigkeit dieser Updates. Und noch eine Randnotiz: Machen Sie sich keine Sorgen, wenn Sie bemerken, dass viele Links bereits auf me.sap.com umleiten, anstatt auf support.sap.com. SAP arbeitet derzeit daran, alle Support-Nutzer umzustellen – wobei die Deadline vermutlich noch einmal verlängert wird. Schließlich möchten wir hervorheben, dass es in diesem Monat keine Hinweise mit einem CVSS-Score von 9.0/10 gab, was eine gute Nachricht ist. Denn obwohl es immer wichtig ist, wachsam zu bleiben, ist es ebenso wichtig, die kleinen Siege zu feiern, wenn sie sich ergeben. Bleiben Sie also wachsam, bleiben Sie sicher und denken Sie daran, dass SAP und wir alle, die wir in der IT-Sicherheitsbranche arbeiten, stets für Sie da sind, um Ihnen dabei zu helfen, Ihr digitales Leben so sicher wie möglich zu gestalten. Denn letztendlich geht es darum, Sicherheit zu gewährleisten und das Vertrauen in unsere digitalen Systeme aufrechtzuerhalten.

  • 2826092 [CVE-2023-31406] Cross-Site Scripting (XSS) vulnerability in SAP BusinessObjects Business Intelligence platform
  • 2826092 [CVE-2023-33986] Cross-Site Scripting (XSS) vulnerability in SAP CRM ABAP (Grantor Management)
  • 3318657 [CVE-2023-33984] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver (Design Time Repository)
  • 3331627 [CVE-2023-33985] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver (Enterprise Portal)
  • 3325642 [CVE-2023-32114] Denial of Service in SAP NetWeaver (Change and Transport System)
  • 3326210 [CVE-2023-30743] Improper Neutralization of Input in SAPUI5
  • 3324285 [CVE-2023-33991] Stored Cross-Site Scripting vulnerability in SAP UI5 (Variant Management)
  • 3322800 Update 1 to security note 3315971 – [CVE-2023-30742] Cross-Site Scripting (XSS) vulnerability in SAP CRM (WebClient UI)
  • 3315971 [CVE-2023-30742] Cross-Site Scripting (XSS) vulnerability in SAP CRM (WebClient UI)
  • 3102769 [CVE-2021-42063] Cross-Site Scripting (XSS) vulnerability in SAP Knowledge Warehouse
  • 3142092 [CVE-2022-22542] Information Disclosure vulnerability in SAP S/4HANA (Supplier Factsheet and Enterprise Search for Business Partner, Supplier and Customer)
  • 1794761 [CVE-2023-32115] SQL Injection in Master Data Synchronization (MDS COMPARE TOOL)
  • 3301942 [CVE-2023-2827] Missing Authentication in SAP Plant Connectivity and Production Connector for SAP Digital Manufacturing

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen