SAP hat für den Patchday im März zwei Sicherheitshinweise mit höchster Priorität und einem CVSS-Score über 9 veröffentlicht. Handeln Sie jetzt und schließen Sie diese Schwachstellen!

Wir fassen das Wichtigste der beiden hochkritischen Sicherheitshinweise zusammen

Hinweis 3433192 – [CVE-2024-22127] Code-Injection-Schwachstelle in SAP NetWeaver AS Java

Das Administrator Log Viewer Plug-in von SAP Netweaver AS Java, ab Version 7.50, erlaubt einem Angreifer mit erweiterten Rechten potenziell gefährliche Dateien hochzuladen. Dadurch könnte er bösartige Befehle einschleusen, mit denen sich nicht autorisierte Operationen durchführen lassen, die den Betrieb des Systems stark gefährden. Die Command-Injection-Schwachstelle mit dem CVSS-Wert von 9.1 besteht aufgrund einer unvollständigen Liste verbotener Dateitypen für die Upload-Funktionalität des Log Viewer Plug-ins.

Um dem entgegenzuwirken, stellt SAP mit dieser Security Note eine erweiterte Liste der verbotenen Dateitypen zur Verfügung. Zusätzlich wird die Aktivierung der Virenprüfung beim Datei-Upload als weitere Sicherheitsmaßnahme empfohlen.

Als temporären Workaround schlägt SAP den Zugriff auf den NetWeaver Administrator mit der Benutzerrolle ‚NWA_READONLY‘ anstelle der Benutzerrolle ‚Administrators‘ vor.  Dieser Workaround ist jedoch nicht als dauerhafte Lösung gedacht.

Hinweis 3425274 – [CVE-2019-10744] Code-Injection-Schwachstelle in Anwendungen, die mit SAP Build Apps erstellt wurden

Es handelt sich um eine Sicherheitslücke mit dem CVSS-Wert 9.4, durch die Angreifer beliebigen Code und nicht autorisierte Befehle in Anwendungen einschleusen können, die mit SAP Build Apps vor Version 4.9.145 erstellt wurden. Wird diese Schwachstelle nicht behoben und erfolgreich ausgenutzt, besteht neben einem geringen Risiko für die Systemvertraulichkeit ein hohes Risiko für die Systemintegrität und -verfügbarkeit.

Als Lösung empfiehlt SAP, die betroffenen Anwendungen mit SAP Build Apps Version 4.9.145 oder höher neu zu erstellen.

Ein temporärer Workaround für diese Schwachstelle ist derzeit nicht verfügbar.

Sonstige SAP-Sicherheitshinweise

Darüber hinaus meldet SAP weitere neue Notes, darunter zwei mit hoher Priorität (Score über 7.0) sowie zwei kritische und hochkritische Update-Notes (Score 8.8 und 10.0). Details dazu finden Sie in unserem englischsprachigen Blog.

Halten Sie Ihre SAP-Systeme durch zeitnahes Einspielen von Patches auf dem neuesten Stand

Um zu verhindern, dass böswillige Angreifer diese hochkritischen Sicherheitslücken ausnutzen, sollten Sie stets vorausschauend reagieren! Sie können sich beispielsweise proaktiv vor Cyber-Bedrohungen schützen, indem Sie einen effektiven monatlichen Patch-Management-Plan erstellen.

Wir möchten Sie stets über die aktuellen SAP-Sicherheitshinweise auf dem Laufenden halten. Schauen Sie also nächsten Monat wieder vorbei, um die neuesten SAP Patch Day Notes zu lesen. Sollten Sie weitere Unterstützung benötigen, zögern Sie bitte nicht, uns zu kontaktieren.

Haben Sie die Patches der HotNews vom Januar und Februar eingespielt?