SAP hat zum Dezember Patch Day dreizehn SAP-Sicherheitshinweise veröffentlicht (einschließlich der Hinweise, die seit dem letzten Patch Tuesday veröffentlicht oder aktualisiert wurden). Dazu gehören eine HotNews-Note und vier Hinweise mit hoher Priorität.
Das Team der Onapsis Research Labs hat SAP bei der Behebung von vier Sicherheitslücken im Dezember unterstützt, darunter die einzige HotNews-Note des Monats.
SAP Security Note #3542543, mit einem CVSS Severity Score von 7.2, behebt eine Server-Side Request Forgery (SSRF) Schwachstelle im SAP NetWeaver Administrator (System Overview) innerhalb des AS Java Stacks. Die Schwachstelle rührt von einem verwundbaren Servlet her, dem es an angemessenen Autorisierungsprüfungen mangelt. Das ermöglicht es potenziellen Angreifern, zugängliche HTTP-Endpunkte im internen Netzwerk durch sorgfältig gestaltete HTTP-Anfragen aufzuzählen. Bei erfolgreicher Ausnutzung könnte ein Angreifer einen SSRF-Angriff mit begrenzten Auswirkungen auf die Datenintegrität und -vertraulichkeit auslösen.
SAP Security Note #3504390 bietet ein Update für eine Sicherheitslücke, die ursprünglich während des November Patch Day von SAP bekannt gegeben wurde. Die Onapsis Research Labs (ORL) identifizierten eine NULL Pointer Dereference-Schwachstelle im SAP Kernel, die von einem nicht authentifizierten Angreifer durch böswillig gestaltete HTTP-Anfragen ausgenutzt werden kann. Durch das Update wird der CVSS-Severity-Score von 5,3 auf 7,5 angehoben, wodurch sich die Risikoeinstufung der Schwachstelle von mittel auf hoch erhöht.
Die High Priority Note #3520281 bietet ein Update für eine Sicherheitslücke, die ursprünglich ebenfalls während des November Patch Day von SAP bekannt gegeben wurde. Das ORL entdeckte eine Cross-Site-Scripting (XSS)-Schwachstelle in SAP Web Dispatcher. Dieses Update ändert in erster Linie den Abschnitt „Gründe und Voraussetzungen“ des ursprünglichen Hinweises, wobei Kunden keine zusätzlichen Maßnahmen treffen müssen.
Die neue HotNews-Note im Detail
Der SAP-Sicherheitshinweis #3536965, der mit einem CVSS-Score von 9.1 versehen ist, ist die einzige HotNews im Dezember. Die ORL identifiziert Schwachstellen in den Adobe Document Services. Diese Schwachstellen mit den Bezeichnungen CVE-2024-47578, CVE-2024-47579 und CVE-2024-47580 setzen Unternehmen und Organisationen potenziell der serverseitigen Anforderungsfälschung (SSRF), dem unbefugten Zugriff auf Dateien und der Offenlegung von Informationen aus.
Die schwerwiegendste Schwachstelle (CVE-2024-47578) hat einen kritischen CVSS-Wert von 9.1 und ermöglicht es einem Benutzer mit Administratorrechten, das gesamte System zu kompromittieren, Dateien zu lesen oder zu ändern und die Systemverfügbarkeit zu unterbrechen. Durch die beiden anderen Schwachstellen (CVE-2024-47579 und CVE-2024-47580) können authentifizierte Administratoren PDF-bezogene Webdienste ausnutzen, um durch Manipulationstechniken interne Serverdateien zu lesen, ohne die Systemintegrität oder -verfügbarkeit zu beeinträchtigen.
Die neue High Note im Detail
Der SAP-Sicherheitshinweis #3469791, der von ORL mit einem CVSS-Score von 8,5 bewertet wurde, ermöglicht es einem authentifizierten Angreifer, Remote Function Call (RFC)-Anfragen zu manipulieren und so möglicherweise Anmeldeinformationen für Remote-Dienste abzufangen und auszunutzen. Durch die Erstellung speziell gestalteter RFC-Anfragen an eingeschränkte Ziele können böswillige Akteure unbefugten Zugriff auf sensible Dienstanmeldeinformationen erlangen, die dann zur vollständigen Kompromittierung des anvisierten Remote-Dienstes genutzt werden könnten.
Es gibt eine Abhilfemaßnahme: Der Profilparameter „rfc/dynamic_dest_api_only = 1“ deaktiviert die dynamische Legacy-Destination vollständig und blockiert damit den potenziellen Exploit-Vektor für nicht autorisierte RFC-Anfragen. Durch die Implementierung dieser Konfiguration können Administratoren Angreifer vorübergehend daran hindern, bösartige Anfragen an eingeschränkte Ziele zu erstellen. Beachten Sie, dass es sich hierbei um eine vorübergehende Lösung handelt und der Patch angewendet werden muss, um die Sicherheitslücke vollständig zu schließen.
Wichtig: SAP warnt davor, dass dieser Workaround dazu führen kann, dass alle Anwendungen, die Legacy-Destinationen verwenden, fehlschlagen.
Fazit
Der SAP Patch Day im Dezember ist ein weiterer vergleichsweise „ruhiger“ Patch Day mit nur dreizehn Sicherheitshinweisen, darunter zehn neue Notes und drei Updates.
Weitere Informationen und Details zu allen Sicherheitshinweisen finden Sie hier auf dem Onapsis-Blog.
(ds/Onapsis)