März 2024 – werth | SAP Security Inside

12. März 20249. April 2024

Aktuelle Patches

Bildnachweis: Firefly.com

Hier findet ihr eine Übersicht der SAP Security Notes für März 2024:

1. Score 10 (Hot News)

Nummer: 2622660

Sicherheitsupdates für Browser-Control Google Chromium in SAP Business Client

Update 12. März 2024: Dieser Sicherheitshinweis wurde in den Abschnitten „Lösung“ und „Support-Packages-Patches“ aktualisiert und erneut veröffentlicht.

Es geht um Schwachstellen im Drittanbieter-Webbrowser-Control Chromium, das im SAP Business Client verwendet wird. Dieser Hinweis wird regelmäßig aktualisiert entsprechend den Updates des Open-Source-Projekts Chromium. Weitere Details finden Sie im Lösungsabschnitt.

Die Priorität dieses Hinweises basiert auf dem höchsten CVSS-Wert aller Schwachstellen im neuesten Browser-Release.

Ab SAP Business Client 6.5 PL5 wird das Browser-Control Chromium für die Anzeige von HTML-Content verwendet. Da dieses Control in SAP Business Client integriert wird, werden Sicherheitskorrekturen über SAP-Business-Client-Patches bereitgestellt. Wenn das SAP-Business-Client-Release nicht auf dem aktuellen Patch-Level ist, können Schwachstellen auftreten, wie z.B. Speicherschäden oder Offenlegung von Informationen, beim Anzeigen von Webseiten. Einige Auswirkungen sind:

Offenlegung von Systeminformationen oder sogar Systemabsturz
Direkte Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit eines Systems
Möglicher Einsatz dieser Informationen für weitere Angriffe mit ernsthaften Folgen

2. Score 9.4 (Hot News)

Nummer: 3425274

[CVE-2019-10744] Code-Injection-Schwachstelle in Anwendungen, die mit SAP Build Apps erstellt wurden

Anwendungen, die mit SAP Build Apps erstellt wurden, stehen durch die Code-Injection-Schwachstelle CVE-2019-10744 erheblich unter Gefahr. Diese Schwachstelle erlaubt es Angreifern, nicht autorisierte Befehle im System auszuführen, was zu erheblichen Beeinträchtigungen der Integrität und Verfügbarkeit der Anwendung führen kann und potenziell gravierende Sicherheitsrisiken birgt.

3. Score 9.1 (Hot News)

Nummer: 3433192

[CVE-2024-22127] Code-Injection-Schwachstelle in SAP NetWeaver AS Java (Administrator-Log-Viewer-Plug-In)

Das AS-Java-Log-Viewer-Plug-In von SAP NetWeaver Administrator weist eine potenzielle Sicherheitslücke auf, die es einem Angreifer mit erweiterten Berechtigungen ermöglicht, riskante Dateien hochzuladen. Dies führt zu einer Schwachstelle für Befehlseinschleusung, über die der Angreifer Anweisungen ausführen kann, die sich stark auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung auswirken können.

4. Score 8.8 (High priority)

Nummer: 3346500

[CVE-2023-39439] Falsche Authentifizierung in SAP Commerce Cloud

Am 12. März 2024 wurde dieser Hinweis mit aktualisierten Lösungsinformationen erneut veröffentlicht.

In bestimmten Konfigurationen der SAP Commerce Cloud kann es vorkommen, dass eine leere Kennphrase für die Authentifizierung mit Benutzer-ID und Kennphrase akzeptiert wird. Dadurch haben Benutzer die Möglichkeit, sich ohne Eingabe einer Kennphrase am System anzumelden.

5. Score 7.5 (High priority)

Nummer: 3410615

[CVE-2023-44487 ] Denial-of-Service (DOS) in SAP HANA XS Classic und HANA XS Advanced

Unauthentifizierte Benutzer können über eine Vielzahl von HTTP/2-Anfragen in SAP HANA XS Classic und HANA XS Advanced einen Netzwerk-Denial-of-Service-Angriff (DOS) initiieren und später die Anfragen abbrechen. Dies kann zu einer Überlastung des Speichers führen und die Verfügbarkeit der Anwendung erheblich beeinträchtigen. Die Vertraulichkeit und Integrität der Anwendung sind davon jedoch nicht betroffen.

6. Score 7.2 (High priority)

Nummer: 3414195

[CVE-2023-50164] Pfad-Traversal-Schwachstelle auf SAP-BusinessObjects-Business-Intelligence-Plattform (Central Management Console)

Die SAP-BusinessObjects-Business-Intelligence-Plattform verwendet in ihrer CMC eine Version von Apache Struts, die von CVE-2023-50164 betroffen ist. Bei Ausnutzung durch einen Benutzer mit hohen Berechtigungen könnten die Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung erheblich sein.

7. Score 5.4 (Medium priority)

Nummer: 3377979

[CVE-2024-27902] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver AS ABAP (auf SAP GUI for HTML (Web Gui) basierende Anwendungen)

Anwendungen, die auf SAP GUI for HTML in SAP NetWeaver AS ABAP basieren, behandeln benutzergesteuerte Eingaben nicht ausreichend, was zu einer Cross-Site-Scripting-Schwachstelle (XSS) führt. Durch einen erfolgreichen Angriff könnte ein böswilliger Angreifer Code im Browser eines Benutzers ausführen, um auf Daten zuzugreifen und diese zu manipulieren. Die Verfügbarkeit des Systems wird davon nicht beeinträchtigt.

8. Score 5.3 (Medium priority)

Nummer: 3434192

[CVE-2024-28163] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP NetWeaver Process Integration (Support Web Pages)

Unter spezifischen Umständen erlaubt es Support Web Pages von SAP NetWeaver Process Integration (PI) einem Angreifer, auf normalerweise eingeschränkte Informationen zuzugreifen. Dies hätte geringe Auswirkungen auf die Vertraulichkeit, ohne die Integrität und Verfügbarkeit der Anwendung zu beeinträchtigen.

9. Score 5.3 (Medium priority)

Nummer: 3425682

[CVE-2024-25644] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver (WSRM)

Unter bestimmten Voraussetzungen gestattet SAP NetWeaver Application Server WSRM einem Angreifer den Zugriff auf normalerweise eingeschränkte Informationen. Dies hat minimale Auswirkungen auf die Vertraulichkeit der Anwendung und keine Auswirkungen auf ihre Integrität und Verfügbarkeit.

10. Score 5.3 (Medium priority)

Nummer: 3428847

[CVE-2024-25645] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP NetWeaver (Enterprise Portal)

Unter spezifischen Umständen gestattet SAP NetWeaver Enterprise Portal einem Angreifer den Zugriff auf normalerweise eingeschränkte Informationen. Dies hat geringfügige Auswirkungen auf die Vertraulichkeit der Anwendung, jedoch keine Auswirkungen auf ihre Integrität und Verfügbarkeit.

11. Score 4.6 (Medium priority)

Nummer: 3417399

[CVE-2024-22133] Ungeeignete Zugriffskontrolle in SAP-Fiori-Frontend-Server

Der SAP-Fiori-Frontend-Server gestattet die Änderung von Details des Genehmigenden im schreibgeschützten Feld während des Versendens von Abwesenheitsantragsinformationen. Diese Änderung könnte dazu führen, dass ein Antrag mit einem falschen Genehmigenden erstellt wird. Dies hätte geringfügige Auswirkungen auf die Vertraulichkeit und Integrität, jedoch keine Auswirkungen auf die Verfügbarkeit der Anwendung.

12. Score 4.3 (Medium priority)

Nummer: 3419022

[CVE-2024-27900] Fehlende Berechtigungsprüfung in der SAP-ABAP-Plattform

Durch das Fehlen einer Berechtigungsprüfung besteht die Möglichkeit für einen Angreifer mit einem Anwendungsbenutzerkonto, die Datenschutzeinstellung von Jobvorlagen von „Freigegeben“ auf „Privat“ zu ändern. Dadurch wäre die ausgewählte Vorlage nur für den Eigentümer zugänglich.

12. März 202412. März 2024

Sicherheitsaspekte in der KI-gestützten SAP-Zukunft

Bildnachweis: Firefly.com

Mensch und Maschine im Team - Die Zukunft der SAP Security mit KI

Die zunehmende Bedeutung generativer KI für die Geschäftswelt ist unübersehbar. In der Tat, KI ist wie ein wildes Pony – voller Potenzial, aber gleichzeitig auch etwas unberechenbar. Was bedeutet das nun für die SAP Security? Nun, es wird… spannend!

KI TRiSM: Ja, der Name klingt etwas sperrig, aber dahinter verbirgt sich ein wichtiger Schritt: Vertrauenswürdige KI. Denn KI-Anwendungen sollten nicht nur clever sein, sondern auch ethisch handeln und unsere Daten schützen. Sonst wird’s schnell haarig!

Um die Sicherheit von KI-Anwendungen zu gewährleisten, müssen wir:

Zugriffskontrollen implementieren, um sicherzustellen, dass nur berechtigte Personen Zugriff auf KI-Modelle und -daten haben.
Datensicherheit durch Verschlüsselung, Pseudonymisierung und Anonymisierung sensibler Daten gewährleisten.
Protokollierung und Monitoring aller Aktivitäten im Zusammenhang mit KI-Modellen und -daten durchführen, um verdächtige Aktivitäten zu erkennen.
Mitarbeiter schulen und sensibilisieren für die Risiken von KI und die Bedeutung von Sicherheit.

Chip-Engpässe: Weniger Chips, mehr Fokus auf ROI – das klingt nach einer harten Zeit für KI-Projekte. Aber keine Angst, liebe Community! Die Security-Profis unter uns werden dafür sorgen, dass die Investitionen in KI auch wirklich sinnvoll sind. Stichwort: Risikomanagement mit Köpfchen!

KI-gestützte Kundenerlebnisse: Coole Chatbots und virtuelle Assistenten – alles super spannend! Aber wir müssen auch aufpassen, dass unsere sensiblen Kundendaten nicht in die falschen Hände geraten. Also, liebe Unternehmen: Sicherheit first!

Um die Sicherheit von KI-gestützten Kundenerlebnissen zu gewährleisten, müssen wir:

Mitarbeitererlebnis: KI verändert die Arbeitswelt – und zwar gewaltig! Neue Tools, neue Aufgaben, neue Herausforderungen. Da ist es wichtig, dass unsere Mitarbeiter fit in Sachen Sicherheit sind. Schulungen und Awareness sind das A und O!

Um die Sicherheit im Mitarbeitererlebnis mit KI zu gewährleisten, müssen wir:

Mitarbeiter regelmäßig schulen im Bereich der SAP Security und der damit verbundenen Risiken.
Awareness-Kampagnen durchführen, um die Mitarbeiter für die Bedeutung von Sicherheit zu sensibilisieren.
Awareness-Kampagnen durchführen, um die Mitarbeiter für die Bedeutung von Sicherheit zu sensibilisieren.

12. März 202412. März 2024

SAP-Sicherheit und Krisenmanagement

Bildnachweis: Firefly.com

Cyberangriffe auf SAP Systeme – Was tun, wenn das SAP-System gehackt wurde?

In einer digitalisierten Welt sind Cyberangriffe eine allgegenwärtige Gefahr. Besonders sensible Systeme wie SAP stehen im Fokus von Hackern, da sie oft sensible Unternehmensdaten enthalten. Aber was tun, wenn das Unvermeidliche eintritt und Ihr SAP-System gehackt wird? Zunächst ist es wichtig zu verstehen, dass präventive Maßnahmen entscheidend sind, um die Sicherheit zu gewährleisten. Aber selbst mit den besten Sicherheitsvorkehrungen besteht immer noch das Risiko eines Angriffs.

Hier sind einige Schritte, die Sie unternehmen können, wenn Ihr SAP-System gehackt wurde:

Ruhe bewahren: Ein Hackerangriff kann beängstigend sein, aber es ist wichtig, ruhig zu bleiben und einen klaren Kopf zu bewahren.

Sofortmaßnahmen ergreifen: Schalten Sie das betroffene System sofort aus, um weitere Schäden zu verhindern. Informieren Sie Ihr IT-Sicherheitsteam oder externe Experten, um den Vorfall zu untersuchen und das Ausmaß des Angriffs festzustellen.

Rückverfolgung und Sicherung: Versuchen Sie, die Ursache des Angriffs zu identifizieren und alle relevanten Daten zu sichern. Dies kann helfen, den Angriff zu verstehen und Maßnahmen zu ergreifen, um zukünftige Angriffe zu verhindern.

Kommunikation: Informieren Sie interne Stakeholder über den Vorfall und kommunizieren Sie transparent über die getroffenen Maßnahmen und den aktuellen Stand der Situation.

Wiederherstellung: Arbeiten Sie mit Ihrem IT-Team zusammen, um das betroffene System zu bereinigen und wiederherzustellen. Überprüfen Sie alle Sicherheitslücken und implementieren Sie zusätzliche Sicherheitsmaßnahmen, um zukünftige Angriffe zu verhindern. Nachbereitung und

Lernen: Führen Sie eine Nachbereitung des Vorfalls durch, um zu verstehen, wie der Angriff stattfinden konnte und welche Lehren daraus gezogen werden können. Passen Sie Ihre Sicherheitsstrategie entsprechend an, um zukünftige Angriffe zu verhindern. Ein Hackerangriff auf Ihr SAP-System kann schwerwiegende Folgen haben, aber mit den richtigen Maßnahmen können Sie die Auswirkungen minimieren und Ihr Unternehmen schützen: -Implementieren Sie strenge Passwortrichtlinien und erzwingen Sie deren Einhaltung.

Verwenden Sie das 4-Augen-Prinzip für sensible Prozesse.
Überwachen Sie Ihr System aktiv auf verdächtige Aktivitäten.
Führen Sie regelmäßig Sicherheitschecks durch.
Erstellen Sie ein Notfallplan für den Fall eines Angriffs.
Die Sicherheit Ihrer SAP-Systeme ist ein wichtiges Thema, das nicht vernachlässigt werden darf.

Indem Sie die oben genannten Maßnahmen ergreifen, können Sie das Risiko eines erfolgreichen Angriffs deutlich reduzieren. Einige konkrete Beispiele für Maßnahmen zur Verbesserung der Sicherheit Ihrer SAP-Systeme sind:

Passwortrichtlinien: Verwenden Sie komplexe Passwörter, ändern Sie sie regelmäßig und verwenden Sie keine Passwörter, die für andere Websites oder Anwendungen verwendet werden.

4-Augen-Prinzip: Stellen Sie sicher, dass sensible Prozesse von zwei Personen genehmigt werden müssen und vergeben Sie Berechtigungen nur nach dem Need-to-Know-Prinzip.

Systemüberwachung: Verwenden Sie ein Systemüberwachungstool, um verdächtige Aktivitäten zu erkennen, und konfigurieren Sie das System so, dass es Sie bei verdächtigen Aktivitäten benachrichtigt.

Sicherheitschecks: Führen Sie regelmäßig Sicherheitschecks durch, um Schwachstellen zu identifizieren und beheben Sie diese umgehend.

Notfallplan: Erstellen Sie einen Notfallplan für den Fall eines Angriffs, der Schritte zur Identifizierung und Eindämmung des Angriffs, zur Wiederherstellung der Systeme und Daten sowie zur Kommunikation mit den Betroffenen enthält.

In den meisten Fällen ist es ratsam, bei einem Hackerangriff auf ein SAP-System externe Experten hinzuzuziehen. Diese verfügen über die Erfahrung und das Know-how, um den Vorfall schnell und effektiv zu untersuchen und die richtigen Maßnahmen zu ergreifen. Externe Experten können bei folgenden Aufgaben helfen:

Untersuchung des Angriffs: Sie können die Ursache des Angriffs identifizieren und den Schaden feststellen.

Sicherung von Beweisen: Sie können forensische Untersuchungen durchführen und alle relevanten Beweise sichern.

Entwicklung eines Wiederherstellungsplans: Sie können einen Plan erstellen, um das betroffene System wiederherzustellen und die Sicherheit zu verbessern.

Kommunikation mit Behörden: Sie können bei der Kommunikation mit Behörden und Strafverfolgungsbehörden unterstützen.

Die Kosten für die Hinzuziehung externer Experten können hoch sein, aber die Investition lohnt sich in der Regel. Die Experten können helfen, den Schaden zu minimieren und die Sicherheit Ihres Unternehmens zu verbessern.