SAP Basis & Security SAP Patch Day Februar 2023

Die als „Hot News“ veröffentlichten Lücken betreffen dieses Mal folgendes Produkt:

Produkt: SAP Business Client, Versions -6.5, 7.0, 7.70

Komponente: BC-WD-CLT-BUS 6.5 – 7.70,

Durch mehrere Sicherheitslücken im Drittanbieter-Webbrowser Control-Chromium welcher im SAP Business Client verwendet bestehen Schwachstellen:

• Ein Angreifer, kann sensible Systemdaten offenlegen und einsehen was sich die Vertraulichkeit und Integrität des Systems auswirkt und im Schlimmsten Fall zum Systemabsturz führt.
• Die SAP empfiehlt die Stabilen Chromium Releases einzuspielen.
• Mehr dazu finden Sie unter dem Hinweis 2622660

Eine als hoch eingestufte Berechtigungseskalationsschwachstelle besteht in SAP Host Agent

Produkt: SAP Host Agent Service, Versions -7.21, 7.22

Komponente: SAPHOSTAGENT 7.21 – 7.22

Durch eine im Host Agent bestehende Berechtigungseskalationsschwachstelle besteht folgendes Risiko:

• Durch diese Schwachstelle kann ein Angreifer die Admin Authentifizierung umgehen und sich lokalem Zugriff auf einen Serverport verschaffen, welcher dem SAP-Host-Agent-Service zugeordnet ist. Dadurch kann er eine gezielte Webservice-Anforderung mit einem Betriebssystembefehl senden, der mit Administratorberechtigungen ausgeführt wird.
• Der Betriebssystembefehl kann beliebige Benutzer und Systemdaten lesen oder ändern und das System unverfügbar machen.
• Die SAP empfiehlt ein Upgrade von SAP Host Agent auf die neueste Version 7.22 PL 59 durchzuführen.
• Mehr dazu finden Sie unter dem Hinweis: 3285757

Eine weitere als hoch eingestufte Schwachstelle besteht in den SAP Basis Versionen, durch die Einfügung von infiziertem Code.

Produkt: SAPBASIS, Versions –731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 789, 790, 791

Komponente: SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 757, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 789, SAP_BASIS 790

• Aufgrund des uneingeschränkten Umfangs des RFC-Funktionsbausteins kann ein Angreifer, in Sap Basis auf eine Systemklasse zugreifen mit modifizierten Parametern ausführen. Nach erfolgreicher Ausnutzung der Schwachstelle kann der Angreifer die volle Kontrolle über das System erlangen, zu dem die Klasse gehört, was sich stark auf die Integrität der Anwendung auswirkt.
• Die Sap empfiehlt die aktuelle Korrekturanleitung / Die Sap Note einzuspielen, da dieser den kritischen Quelltext deaktiviert.
• Mehr dazu finden Sie unter dem Hinweis: 3268172

Eine weitere als hoch eingestufte Schwachstelle betrifft die Offenlegung von Informationen in der SAP-BusinessObjects-Business-Intelligence-Plattform

Produkt: SAP BusinessObjects Business Intelligence platform (Analysis edition for OLAP), Versions -420, 430

Komponente: ENTERPRISE 420 – 430, SBOP BI PLATFORM SERVERS 4.2 SP009, SBOP BI PLATFORM SERVERS 4.3 SP009, SP002, SP003, SP004

• Durch eine Sicherheitslücke in der SAP-BusinessObjects-Business-Intelligence-Plattform kann ein authentifizierter Angreifer auf sensible Informationen zugreifen, auf welche der Zugriff im Normalfall eingeschränkt ist.
• Eine erfolgreiche Ausnutzung der Schwachstelle wirkt sich stark auf die Vertraulichkeit der Anwendung aus und kann die Integrität der Anwendung zu einem gewissen Grad beeinträchtigen.
• Die SAP empfiehlt die aktuellen Support Packages und Patches einzuspielen.
• Den Workaround mehr dazu finden Sie unter dem Hinweis 3263135

Eine weitere als hoch eingestufte Schwachstelle betrifft Berechtigungseskalation im Produkt SAP Business Planning and Consolidation

Produkt: SAP Business Planning and Consolidation,Versions–SAP_BW 750, 751, 752, 753, 754, 755, 756, 757, DWCORE 200, 300, CPMBPC 810

Komponente: DW4CORE 200-300, SAP_BW 750-757, CPMBPC 810-810

• In einigen SAP-Standardrollen in SAP Business Planning and Consolidation wird ein für Kunden reservierter Transaktionscode verwendet.
• Durch die Implementierung eines derartigen Transaktionscodes kann ein Angreifer nicht autorisierte Transaktionsfunktionen ausführen.
• Durch erfolgreiches Ausnutzen von Benutzerverwaltungstransaktionen, kann ein Angreifer seine Berechtigungen anpassen, dass dieser in der Lage ist Systemdaten lesen, ändern oder löschen zu können.
• Die SAP empfiehlt das Profil der Rolle SAP_BPC_ADMIN neu zu generieren, um den Transaktionscode aus der Standardrolle SAP_BPC_ADMIN zu korrigieren.
• Mehr dazu finden Sie unter dem Hinweis: 3267780 

Eine weitere hohe Schwachstelle besteht im Zusammenhang mit einem möglichen Datei-Upload in der SAP-BusinessObjects-Business-Intelligence-Plattform

Produkt: SAP BusinessObjects Business Intelligence platform (CMC), Versions -420, 430

Komponente: ENTERPRISE 420 - 430

• Ein als admin authentifizierter Angreifer kann infizierten Code ins System laden und diesen innerhalb der Anwendung über das Netzwerk ausführen.
• Die Folge dieser Schwachstelle ist, das der Angreifer Vorgänge ausführen, die die Anwendung vollumfänglich gefährden und die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung stark beeinträchtigen kann.
• Das Problem wird durch die Frontend- und Backend-Validierung von Formattypen behoben.
• Die Sap empfiehlt die aktuelle Korrekturanleitung einzuspielen.
• Mehr dazu finden Sie unter dem Hinweis 3268093

Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day Februar finden Sie hier.

Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an Herrn René Studtmann unter Rene.Studtmann@cpro-ips.com.