SAP hat einen neuen HotNews-Hinweis als Sammelnotiz veröffentlicht, der auf mehrere Lücken in den „SAP Business Technology Platform (BTP) Security Services Integration Libraries“ hinweist. Diese ermöglichen Angreifern die Ausweitung von Rechten.

Handeln Sie umgehend und patchen Sie Ihre Systeme!

Die wichtigsten Keyfacts zu den HotNews des Dezember SAP Patchday

Im Vergleich zu den Patchday-Veröffentlichungen im Oktober und November enthält die Dezember-Version insgesamt mehr Patches mit einem höheren Schweregrad. In diesem Artikel konzentrieren wir uns auf die SAP Security Notes mit der höchsten Priorität (CVSS-Scores von 9,0 bis 10,0), darunter eine neue HotNews und ein Hinweis-Update.

Privilegieneskalation in SAP Business Technology Platform (BTP) Security Services Integration Libraries

Sammelhinweis 3411067 – [CVE-2023-49583, CVE-2023-50422, CVE-2023-50423, CVE-2023-50424] hat eine CVSS-Bewertung von 9,1 und beschreibt die „Eskalation von Privilegien in SAP Business Technology Platform (BTP) Security Services Integration Libraries“.

Die Schwachstelle betrifft Bibliotheken, die für die Integration von SAP BTP Security Services erstellt wurden, wie z.B. SAP Authorization and Trust Management Service (XSUAA) und verschiedene Identity Services. Nutzt ein Angreifer diese Sicherheitslücke erfolgreich aus, kann er sich auch ohne Authentifizierung beliebige Berechtigungen innerhalb der Anwendung verschaffen. SAP hat einen Blogbeitrag veröffentlicht, in dem die Wichtigkeit der Aktualisierung der betroffenen Bibliotheken und Komponenten erläutert wird. Da es derzeit keine provisorische Lösung für diese Schwachstelle gibt, wird die Installation der Patches dringend empfohlen.

Security Notes-Update: OS Command Injection-Schwachstelle in SAP ECC und SAP S/4HANA (IS-OIL)

Hinweis 3399691 – [CVE-2023-36922] hat ebenfalls einen CVSS-Wert von 9,1 und ist ein Update der Security Note 3350297, die ursprünglich im Juli 2023 veröffentlicht wurde. Der aktualisierte Sicherheitshinweis adressiert eine „OS Command Injection Schwachstelle in SAP ECC und SAP S/4HANA (IS-OIL)“. Aufgrund eines Programmierfehlers im Funktionsbaustein und im Report ermöglicht die Komponente IS-OIL in SAP ECC und SAP S/4HANA einem authentifizierten Angreifer, einen beliebigen Betriebssystembefehl in einen ungeschützten Parameter in einer gemeinsamen (Standard-)Erweiterung einzufügen. Wird diese Schwachstelle erfolgreich ausgenutzt, kann der Angreifer unautorisierten Zugriff auf den Applikationsserver erlangen. Systemdaten können gelesen oder verändern und das System vollständig heruntergefahren werden.

Der zuvor im HotNews-Hinweis 3350297 bereitgestellte Patch war für die Komponente IS-OIL-DS-HPM unvollständig. Als Lösung hat SAP die Option „Test Selected Routines“ aus dem Report ROIB_QCI_CALL_TEST entfernt. Ebenso ist die direkte Ausführung des Funktionsbausteins OIB_QCI_SERVER nicht mehr erlaubt. Kunden, die diesen Patch bereits eingespielt haben, wird empfohlen, auch den neuen Sicherheitshinweis 3399691 zu installieren.

Bitte beachten Sie, dass die Schwachstelle nur dann vollständig geschlossen ist, wenn beide Patches aufgespielt werden und gleichzeitig IS-OIL aktiviert ist.

Denken Sie daran, die HotNews zu verfolgen und Ihre SAP-Systeme auf dem neuesten Stand zu halten!

Schützen Sie sich proaktiv vor Cyber-Angriffen und stellen Sie sicher, dass Ihre Systeme rechtzeitig mit Patches aktualisiert werden. Die Vernachlässigung dieser wichtigen Komponente der SAP-Sicherheit kann zu kostspieligen Datenschutzverletzungen, Systemausfallzeiten und potenziellen Imageschäden führen. Kontaktieren Sie uns gerne, wenn Sie Unterstützung bei der Absicherung Ihrer SAP-Systeme oder bei der Erstellung eines effektiven monatlichen Patch-Management-Plans benötigen.

Sie möchten mehr zu diesem Thema erfahren und sich über weitere neu veröffentlichte Sicherheitshinweise mit hoher und mittlerer Priorität informieren? Dann besuchen Sie unseren englischsprachigen Blog.

Lesen Sie auch diese HotNews-Artikel: