Monat: April 2024

Veröffentlicht am

Security Insights

SAP-Sicherheit: Mission Possible! Mit diesen Strategien meistern Sie die Herausforderung auch mit begrenzten Ressourcen.

In der heutigen digitalen Welt ist die Gewährleistung der SAP-Sicherheit für Unternehmen aller Größenordnungen unerlässlich. Doch gerade für Unternehmen mit begrenzten Ressourcen kann dies eine Herausforderung darstellen.

Keine Panik! Mit den richtigen Schritten und intelligenten Lösungen können Sie auch mit knappen Mitteln die Sicherheit Ihrer SAP-Systeme deutlich verbessern. In diesem Artikel erfahren Sie, wie Sie trotz begrenzter finanzieller, personeller und zeitlicher Ressourcen die Abwehr Ihrer SAP-Landschaft stärken können.

 

Wie können Unternehmen mit begrenzten Budgets ihre SAP-Sicherheit verbessern?

Auch wenn Unternehmen mit finanziellen Engpässen konfrontiert sind, können sie dennoch wichtige Schritte unternehmen, um die Sicherheit ihrer SAP-Systeme zu verbessern. Zunächst sollten sie das Bewusstsein für Sicherheitsrisiken schärfen und ihre Mitarbeiter über bewährte Sicherheitspraktiken im Umgang mit SAP-Systemen informieren. Darüber hinaus können sie grundlegende Sicherheitsmaßnahmen wie Zugangskontrolle, Berechtigungsverwaltung und Passwortrichtlinien implementieren, ohne zusätzliche Kosten zu verursachen. Diese Maßnahmen stellen einen soliden ersten Schritt dar, um das Sicherheitsniveau zu erhöhen.

Für weitere Sicherheitsverbesserungen können Unternehmen etablierte und kosteneffiziente SAP-Sicherheitslösungen, wie zum Beispiel werthAUDITOR, in Betracht ziehen, die wichtige Sicherheitsfunktionen bieten. Alternativ können sie auch Managed Services von Drittanbietern nutzen, um Sicherheitsaufgaben auszulagern und Kosten zu senken. Für die Zukunft sollten Unternehmen stabile Budgets für Sicherheitsmaßnahmen festlegen und Investitionen basierend auf Risikoanalysen und Sicherheitsbedürfnissen priorisieren.

Investitionen in SAP-Sicherheit zahlen sich auf lange Sicht aus, da sie dazu beitragen, das Risiko von Datenverlust, Betriebsunterbrechungen und finanziellen Schäden durch Sicherheitsvorfälle zu minimieren. Ein sicherheitskonformes SAP-System hilft Unternehmen außerdem, gesetzliche und branchenspezifische Compliance-Anforderungen zu erfüllen und potenzielle Geldstrafen zu vermeiden. Darüber hinaus trägt eine sichere SAP-Umgebung dazu bei, das Vertrauen von Kunden, Partnern und Stakeholdern zu erhalten und langfristige finanzielle Verluste durch Sicherheitsvorfälle zu vermeiden.

Erste Schritte:

  • Bewusstsein schaffen: Sensibilisieren Sie Mitarbeiter für Sicherheitsrisiken und best practices im Umgang mit SAP-Systemen
  • Grundlegende Sicherheitsmaßnahmen implementieren: Setzen Sie grundlegende Sicherheitsmaßnahmen wie Zugangskontrolle, Berechtigungsverwaltung und Passwortrichtlinien um. Diese Maßnahmen erfordern in der Regel keine zusätzlichen Kosten.
  • Ressourcenoptimierung: Nutzen Sie vorhandene Ressourcen effizient, indem Sie interne Expertise und Schulungen nutzen, um das Sicherheitsniveau zu verbessern.

Weitere Maßnahmen:

  • Evaluierung von SAP-Security Lösungen: Untersuchen Sie etablierte Preis-Leistungs-Champions, die wichtige Sicherheitsfunktionen bieten.
  • Managed Services: Erwägen Sie die Nutzung von Managed Services-Angeboten von Drittanbietern, um Sicherheitsaufgaben auszulagern und Kosten zu senken.
  • Langfristige Budgetplanung: Setzen Sie langfristige Budgets für Sicherheitsmaßnahmen fest und priorisieren Sie Investitionen basierend auf Risikoanalysen und Sicherheitsbedürfnissen.

Langfristige Vorteile von SAP-Sicherheitsinvestitionen:

Risikominimierung: Investitionen in Sicherheitsmaßnahmen helfen, das Risiko von Datenverlust, Betriebsunterbrechungen und finanziellen Schäden durch Sicherheitsvorfälle zu minimieren.

Compliance: Ein sicherheitskonformes SAP-System hilft Unternehmen, gesetzliche und branchenspezifische Compliance-Anforderungen zu erfüllen und potenzielle Geldstrafen zu vermeiden.

Reputationsschutz: Ein sicherer Ruf ist für Unternehmen von unschätzbarem Wert. Investitionen in SAP-Sicherheit helfen, das Vertrauen von Kunden, Partnern und Stakeholdern zu erhalten.

Langfristige Kosteneffizienz: Obwohl Investitionen in Sicherheit zunächst Kosten verursachen können, können sie langfristig helfen, finanzielle Verluste durch Sicherheitsvorfälle zu vermeiden, die viel teurer sein können.

Sicherheit der SAP-Systeme trotz personeller Engpässe: Was sind die Möglichkeiten?

Auch wenn Unternehmen mit personellen Engpässen in Bezug auf die Sicherheit ihrer SAP-Systeme zu kämpfen haben, gibt es dennoch verschiedene Maßnahmen, die sie ergreifen können, um ihre Sicherheitslage zu verbessern. Ein erster Schritt besteht darin, die Sicherheitsmaßnahmen zu priorisieren. Indem sie die wichtigsten Risiken identifizieren und priorisieren, können sie ihre begrenzten Ressourcen effektiver einsetzen. Dazu gehört die Konzentration auf Bereiche wie Zugangskontrolle, Berechtigungsverwaltung und Datenverschlüsselung.

 

Eine weitere Möglichkeit besteht darin, Sicherheitsaufgaben zu automatisieren. Durch die Implementierung von automatisierten Tools und Lösungen wie werthAUDITOR können repetitive Sicherheitsaufgaben automatisiert werden, was Zeit und Ressourcen spart. Darüber hinaus sollten Unternehmen in Schulungen und Weiterbildungen investieren, um das Sicherheitsbewusstsein ihres Personals zu stärken und deren Kenntnisse im Bereich SAP-Sicherheit zu verbessern.

 

Wenn die personellen Ressourcen begrenzt sind, kann auch die Auslagerung von Sicherheitsaufgaben an externe Dienstleister oder Managed Security Service Provider (MSSPs) in Betracht gezogen werden. Diese externen Experten können bei der Überwachung, Analyse und Behebung von Sicherheitsvorfällen unterstützen und die interne Belastung verringern. Des Weiteren können Partnerschaften und Zusammenarbeit mit anderen Unternehmen oder Organisationen im Bereich SAP-Sicherheit helfen, Ressourcen, Erfahrungen und Best Practices zu teilen und gemeinsam Sicherheitsrisiken zu minimieren.

 

Durch die Umsetzung dieser Maßnahmen können Unternehmen trotz personeller Engpässe ihre Sicherheitslage verbessern und ihre SAP-Systeme effektiver schützen

Erste Schritte:

  • Priorisierung der Sicherheitsmaßnahmen: Identifizieren Sie die wichtigsten Sicherheitsrisiken und priorisieren Sie diese entsprechend. Konzentrieren Sie sich auf die Bereiche mit dem höchsten Risiko für Ihr Unternehmen, wie z.B. Zugriffskontrolle, Berechtigungsverwaltung und Datenverschlüsselung.
  • Automatisierung von Sicherheitsaufgaben: Implementieren Sie automatisierte Tools und Lösungen wie werthAUDITOR, um repetitive Sicherheitsaufgaben zu automatisieren. Automatisieren Sie regelmäßige Sicherheitsüberprüfungen, Schwachstellenanalysen und Compliance-Checks, um Zeit zu sparen und Fehler zu minimieren.
  • Investition in Schulungen und Weiterbildungen: Bieten Sie Ihrem bestehenden Personal Schulungen und Weiterbildungen im Bereich SAP-Sicherheit an.Verbessern Sie das Sicherheitsbewusstsein Ihrer Mitarbeiter und stärken Sie deren Kenntnisse und Fähigkeiten, um Sicherheitsrisiken zu erkennen und zu minimieren.

Weitere Maßnahmen:

  • Auslagerung von Sicherheitsaufgaben: Erwägen Sie die Auslagerung von Sicherheitsaufgaben an externe Dienstleister oder Managed Security Service Provider (MSSPs). Externe Experten können bei der Überwachung, Analyse und Behebung von Sicherheitsvorfällen unterstützen und die Belastung des internen Personals verringern.
  • Grundlegende Sicherheitsmaßnahmen implementieren: Setzen Sie grundlegende Sicherheitsmaßnahmen wie Zugangskontrolle, Berechtigungsverwaltung und Passwortrichtlinien um. Diese Maßnahmen erfordern in der Regel keine zusätzlichen Kosten.

Welche Maßnahmen helfen Unternehmen mit knappen Zeitressourcen, die Sicherheit ihrer Systeme zu verbessern?

In einem Umfeld, in dem Ressourcen knapp und Zeit ein kostbares Gut ist, stehen Unternehmen vor der anspruchsvollen Aufgabe, die Sicherheit ihrer SAP-Systeme zu gewährleisten, ohne dabei den reibungslosen Geschäftsbetrieb zu beeinträchtigen. Angesichts der zunehmenden Bedrohungen durch Cyberangriffe und potenzielle Datenverluste ist die Implementierung effektiver Schutzmaßnahmen jedoch unerlässlich.

Um eine solide Basis für die Sicherheit zu schaffen, sind einige erste Schritte von entscheidender Bedeutung. Hierzu gehört die Identifizierung der kritischen SAP-Systeme und Komponenten, die für den Geschäftsbetrieb unverzichtbar sind, sowie deren Priorisierung und gezielte Absicherung. Eine regelmäßige Risikobewertung der gesamten SAP-Umgebung ermöglicht es Unternehmen, potenzielle Sicherheitslücken zu erkennen und entsprechend zu priorisieren.

Die zeitnahe Einspielung von Sicherheitsupdates für SAP-Software und -Systeme sowie die regelmäßige Überprüfung der Systemkonfiguration nach Best Practices sind ebenfalls essenziell, um bekannte Schwachstellen zu schließen und das System vor neuen Bedrohungen zu schützen. Durch die Anwendung des Prinzips der geringsten Privilegien bei der Zugriffsverwaltung können Unternehmen zudem die Angriffsfläche minimieren und das Risiko von Sicherheitsverstößen verringern.

Des Weiteren sind Investitionen in die Schulung der Mitarbeiter im Bereich Cybersicherheit von großer Bedeutung, um das Bewusstsein für Sicherheitsbedrohungen zu schärfen und sichere Verhaltensweisen im Umgang mit IT-Systemen zu fördern. Regelmäßige Datensicherungen und die kontinuierliche Überwachung der SAP-Umgebung auf verdächtige Aktivitäten runden die grundlegenden Sicherheitsmaßnahmen ab.

Sobald diese grundlegenden Schritte implementiert sind, können Unternehmen weitere Maßnahmen ergreifen, um die Sicherheit ihrer SAP-Systeme weiter zu verbessern. Dazu gehören die Implementierung einer Zero-Trust-Sicherheitsarchitektur, die Nutzung von Security-as-a-Service (SaaS)-Lösungen sowie regelmäßige Penetrationstests und Investitionen in Managed Security Services.

Zusätzlich zur Umsetzung dieser Maßnahmen ist die Entwicklung eines umfassenden Cybersicherheitsplans sowie die enge Zusammenarbeit mit SAP-Anbietern und -Partnern entscheidend. Die Kommunikation der Bedeutung einer Cybersicherheitskultur an alle Mitarbeiter und Führungskräfte des Unternehmens rundet die Sicherheitsstrategie ab.

Durch die konsequente Umsetzung dieser Maßnahmen können Unternehmen mit zeitlichen Engpässen die Sicherheit ihrer SAP-Systeme deutlich verbessern und das Risiko von Cyberangriffen und Datenverlusten erheblich verringern. Die Investition in Sicherheit ist dabei nicht nur eine kurzfristige Notwendigkeit, sondern eine langfristige Strategie zum Schutz der wertvollen Daten und Ressourcen des Unternehmens.

Erste Schritte für eine starke Basis:

  • Priorisierung: Identifizieren Sie kritische SAP-Systeme und Komponenten, die für den reibungslosen Betrieb des Unternehmens unverzichtbar sind. Konzentrieren Sie sich zunächst auf die Sicherung dieser Systeme, um die wichtigsten Funktionen zu schützen.
  • Risikobewertung: Führen Sie regelmäßige Risikobewertungen Ihrer SAP-Umgebung durch. Ziel ist es, potenzielle Sicherheitslücken zu erkennen und nach Priorität zu ordnen. So können Sie Ihre Ressourcen gezielt einsetzen und die dringendsten Schwachstellen zuerst beheben.
  • Patch-Management: Implementieren Sie einen robusten Patch-Management-Prozess. Stellen Sie sicher, dass Sicherheitsupdates für Ihre SAP-Software und -Systeme zeitnah eingespielt werden, um bekannte Schwachstellen zu schließen und Ihr System vor neuen Bedrohungen zu schützen.
  • Konfigurationsmanagement: Überprüfen Sie regelmäßig die Konfiguration Ihrer SAP-Systeme und stellen Sie sicher, dass sie den Best Practices für die Systemsicherheit entsprechen. Dies minimiert das Risiko von Fehlkonfigurationen, die Angreifern Einfallstore bieten könnten.
  • Zugriffsverwaltung: Implementieren Sie das Prinzip der geringsten Privilegien. Gewähren Sie Benutzern nur den Zugriff auf die Ressourcen und Funktionen, die sie für ihre Aufgaben tatsächlich benötigen. So begrenzen Sie die Angriffsfläche und minimieren das Risiko von Schadensausmaß im Falle eines Sicherheitsverstoßes.
  • Schulung und Bewusstseinsbildung: Investieren Sie in die Schulung Ihrer Mitarbeiter in puncto Cybersicherheit. Sensibilisieren Sie sie für die Bedrohungen durch Cyberkriminalität und schärfen Sie ihr Bewusstsein für sichere Verhaltensweisen im Umgang mit IT-Systemen.
  • Datensicherung: Stellen Sie sicher, dass Ihre SAP-Daten regelmäßig gesichert werden und dass die Sicherungen an einem sicheren Ort aufbewahrt werden. So können Sie im Falle eines Datenverlusts schnell und zuverlässig eine Wiederherstellung durchführen.
  • Sicherheitsüberwachung: Überwachen Sie Ihre SAP-Umgebung kontinuierlich auf verdächtige Aktivitäten und potenzielle Sicherheitsbedrohungen. Moderne Monitoring-Lösungen ermöglichen die frühzeitige Erkennung von Anomalien und ermöglichen eine schnelle Reaktion auf Angriffe.

Erste Schritte für eine starke Basis:

Sobald die grundlegenden Sicherheitsmaßnahmen implementiert sind, können Unternehmen weitere Schritte unternehmen, um die Sicherheit ihrer SAP-Systeme weiter zu verbessern.

  • Zero-Trust-Sicherheitsarchitektur: Implementieren Sie eine Zero-Trust-Architektur, die davon ausgeht, dass niemand standardmäßig Zugriff auf das System hat. Jeder Zugriff muss verifiziert und autorisiert werden, um unbefugte Zugriffe zu verhindern.
  • Security-as-a-Service (SaaS)-Lösungen: Nutzen Sie SaaS-Lösungen, um die Verantwortung für die Wartung und den Schutz Ihrer SAP-Systeme an einen externen Anbieter zu übertragen. Dies kann Ressourcen entlasten und die Expertise externer Spezialisten nutzen.
  • Regelmäßige Penetrationstests: Führen Sie regelmäßig Penetrationstests durch, um die Sicherheit Ihrer SAP-Systeme gegen externe Angriffe zu testen. So können Sie Schwachstellen identifizieren, bevor sie von Cyberkriminellen ausgenutzt werden können.
  • Managed Security Services: Investieren Sie in Managed Security Services, um die Sicherheit Ihrer SAP-Systeme durch spezialisierte Experten zu gewährleisten. Diese können Ihre Systeme rund um die Uhr überwachen und im Falle eines Angriffs schnell reagieren.

Zusätzliche Tipps:

Umfassender Cybersicherheitsplan: Entwickeln Sie einen umfassenden Plan für die Cybersicherheit Ihrer SAP-Systeme, der alle relevanten Aspekte abdeckt.

Aktualisierung über Bedrohungen: Bleiben Sie über die neuesten Sicherheitsbedrohungen und Schwachstellen informiert und aktualisieren Sie Ihre Schutzmaßnahmen entsprechend.

Zusammenarbeit mit Anbietern und Partnern: Arbeiten Sie eng mit Ihren SAP-Anbietern und -Partnern zusammen, um die Sicherheit Ihrer SAP-Systeme zu gewährleisten.

Kommunikation der Cybersicherheitskultur:  Kommunizieren Sie die Bedeutung der Cybersicherheit an alle Mitarbeiter und Führungskräfte des Unternehmens, um eine gemeinsame Sicherheitskultur zu schaffen.

  • Fazit:

    Obwohl es zunächst herausfordernd erscheinen mag, können Unternehmen mit begrenzten Ressourcen, sei es finanziell, personell oder zeitlich, wichtige Schritte unternehmen, um die Sicherheit ihrer SAP-Systeme zu verbessern. Durch Priorisierung, Automatisierung, Schulungen und gegebenenfalls Auslagerung von Sicherheitsaufgaben können sie ihre Sicherheitslage stärken und langfristig von einer sicheren SAP-Umgebung profitieren. Die Investition in SAP-Sicherheit ist nicht nur eine kurzfristige Notwendigkeit, sondern eine langfristige Strategie zum Schutz wertvoller Daten und Ressourcen. Durch die konsequente Umsetzung geeigneter Maßnahmen können Unternehmen trotz begrenzter Ressourcen die Sicherheit ihrer SAP-Systeme gewährleisten und sich vor den Gefahren von Cyberangriffen und Datenverlusten schützen.
Veröffentlicht am

Aktuelle Patches

SAP NEWS: Patchday April 2024

Hier findet ihr eine Übersicht der SAP Security Notes für April 2024:

1. Score 8.8   (High priority)

Nummer: 3434839

[CVE-2024-27899] Schwachstelle mit Blick auf falsche Sicherheitskonfiguration in SAP NetWeaver AS Java User Management Engine

Die Funktionen der Selbstregistrierung und Profilbearbeitung in der Benutzerverwaltungsanwendung von SAP NetWeaver AS Java erfüllen nicht die erforderlichen Sicherheitsstandards für die neu definierten Sicherheitsanforderungen. Diese Schwachstelle könnte von einem Angreifer ausgenutzt werden, um erhebliche Vertraulichkeitsrisiken sowie geringfügige Beeinträchtigungen der Integrität und Verfügbarkeit zu verursachen.

READ MORE

2. Score 7.7   (High priority)

Nummer: 3421384

[CVE-2024-25646] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP BusinessObjects Web Intelligence

Durch eine fehlerhafte Validierung ermöglicht das SAP-BusinessObjects-Business-Intelligence-Launchpad einem authentifizierten Angreifer den Zugriff auf Betriebssysteminformationen über ein erstelltes Dokument. Die erfolgreiche Ausnutzung dieser Schwachstelle kann erhebliche Auswirkungen auf die Vertraulichkeit der Anwendung haben.

READ MORE

3. Score 7.2   (High priority)

Nummer: 3438234

[CVE-2024-27901] Directory-Traversal-Schwachstelle in SAP Asset Accounting

„Durch die unzureichende Validierung der von Benutzern bereitgestellten Pfadinformationen in SAP Asset Accounting kann ein Angreifer mit hohen Berechtigungen diese an die Datei-APIs übergeben und somit erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung verursachen.

READ MORE

4. Score 6.8  (High priority)

Nummer: 3442741

Stack-Überlauf-Schwachstelle in Komponentenbildern von SAP Integration Suite (EDGE INTEGRATION CELL)

Eine Stack-Überlauf-Schwachstelle wurde in Open Source ash.c:6030 in busybox entdeckt. Diese Schwachstelle ermöglicht es einem Angreifer, beliebigen Code aus der Befehlszeile in einem Container-Image auszuführen. Es ist jedoch nur möglich, Befehle über die Anwendung selbst auszuführen, wenn der Zugriff auf laufende Container nicht eingeschränkt ist. Dies hat potenziell hohe Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung.

READ MORE

5. Score 6.5   (High priority)

Nummer: 3359778

[CVE-2024-30218] Denial-of-Service-Schwachstelle (DoS) in SAP NetWeaver AS ABAP und ABAP-Plattform

Durch das gezielte Auslösen von Abstürzen oder das Überfluten des Service können Angreifer den Zugriff rechtmäßiger Benutzer auf einen Service auf dem ABAP Application Server und der ABAP-Plattform verhindern. Dies führt zu erheblichen Beeinträchtigungen der Verfügbarkeit des betroffenen Services.

READ MORE

6. Score 6.5   (Medium priority)

Nummer: 3164677

[CVE-2022-29613] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP Employee Self-Service (SAP Fiori „Meine Abwesenheitsanträge)

Aufgrund unzureichender Eingabevalidierung in SAP Employee Self-Service kann ein authentifizierter Angreifer mit Benutzerberechtigungen die Mitarbeiternummer ändern. Nach erfolgreicher Ausnutzung der Schwachstelle kann der Angreifer persönliche Daten anderer Benutzer anzeigen, was sich nur begrenzt auf die Vertraulichkeit der Anwendung auswirkt.

READ MORE

7. Score 6.5   (Medium priority)

Nummer: 3442378

[CVE-2024-28167] Fehlende Berechtigungsprüfung in SAP Group Reporting Data Collection (Paketdaten eingeben)

Für authentifizierte Benutzer führt SAP Group Reporting Data Collection keine erforderlichen Berechtigungsprüfungen durch, was zu einer Rechteausweitung führt. Dadurch kann ein Benutzer bestimmte Daten über die App „Paketdaten eingeben“ ändern, selbst wenn er nicht über ausreichende Berechtigungen verfügt. Dies stellt eine erhebliche Bedrohung für die Integrität der Anwendung dar.

READ MORE

8. Score 6.1   (Medium priority)

Nummer: 3156972

[CVE-2023-40306] URL-Umleitungsschwachstelle in SAP S/4HANA (Katalogpositionen verwalten und katalogübergreifende Suche)

Durch eine unzureichende URL-Validierung in den SAP-Fiori-Apps „Katalogpositionen verwalten“ und „Katalogübergreifende Suche“ in SAP S/4HANA besteht die Gefahr, dass ein Angreifer Benutzer auf eine schädliche Website umleiten kann. Obwohl dies nur geringfügige Auswirkungen auf die Vertraulichkeit und Integrität hat, stellt es dennoch eine potenzielle Bedrohung dar.

READ MORE

9. Score 5.3   (Medium priority)

Nummer: 3425188

[CVE-2024-27898] Serverseitige Request-Forgery in SAP NetWeaver (tc~esi~esp~grmg~wshealthcheck~ear)

Aufgrund unzureichender Eingabevalidierung gestattet die SAP-NetWeaver-Anwendung (tcesiespgrmgwshealthcheck~ear) nicht authentifizierten Angreifern das Senden gezielter Anfragen aus einer anfälligen Webanwendung heraus. Diese Anfragen könnten interne Systeme hinter Firewalls angreifen, die normalerweise nicht über das externe Netzwerk zugänglich sind. Dies könnte potenziell schwerwiegende Schwachstellen für serverseitige Request-Forgery verursachen, die jedoch nur geringfügige Auswirkungen auf die Vertraulichkeit der Anwendung haben.

READ MORE

10. Score 4.8   (Medium priority)

Nummer: 3421453

[Mehrere CVEs] Cross-Site-Scripting-Schwachstellen (XSS) in SAP Business Connector

Der vorliegende SAP-Sicherheitshinweis betrifft verschiedene Schwachstellen, die im SAP Business Connector entdeckt wurden. Im Folgenden finden Sie Details zu den Sicherheitslücken sowie relevante Informationen:

  1. Cross-Site Scripting (Reflected)
    • CVE-2024-30214
    • CVSS Score: 4.8; CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N

Die Anwendung erlaubt einem Angreifer mit hohen Berechtigungen, einen schädlichen GET-Abfrageparameter an Serviceaufrufe anzufügen, die in der Serverantwort reflektiert werden. Wenn der Parameter JavaScript enthält, könnte das Skript unter bestimmten Umständen auf der Client-Seite ausgeführt werden.

  1. Cross-Site Scripting (Stored)
    • CVE-2024-30215
    • CVSS Score: 4.8; CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N

Ein Angreifer mit hohen Berechtigungen kann auf der Seite Ressourceneinstellungen eine schädliche Nutzlast speichern und wiedergeben, wenn ein Benutzer die Seite aufruft. Ein erfolgreicher Angriff könnte einige Informationen offengelegt und/oder modifiziert werden. Es sei jedoch angemerkt, dass der Angreifer keine Kontrolle darüber hat, welche Informationen erlangt werden, und dass der Umfang oder die Art des möglichen Schadens begrenzt ist.

READ MORE

11. Score 4.3   (Medium priority)

Nummer: 3430173

[CVE-2024-30217] Fehlende Berechtigungsprüfung in SAP S/4HANA (Cash Management)

Cash Management in SAP S/4HANA weist eine Schwachstelle auf, bei der für authentifizierte Benutzer nicht die erforderlichen Berechtigungsprüfungen durchgeführt werden. Dies kann zu einer Rechteausweitung führen, wodurch ein Angreifer die Möglichkeit erhält, einen Bankkontenantrag zu genehmigen oder abzulehnen. Diese Handlung beeinflusst die Integrität des Antrags, während Vertraulichkeit und Verfügbarkeit nicht betroffen sind.

READ MORE

12. Score 4.3   (Medium priority)

Nummer: 3427178

[CVE-2024-30216] Fehlende Berechtigungsprüfung in SAP S/4HANA (Cash Management)

Cash Management in SAP S/4HANA weist eine Schwachstelle auf, bei der für authentifizierte Benutzer nicht die erforderlichen Berechtigungsprüfungen durchgeführt werden. Dadurch kann ein Angreifer Notizen in der Review-Anforderung mit dem Status „Abgeschlossen“ hinzufügen, was sich auf die Integrität der Anwendung auswirken kann. Vertraulichkeit und Verfügbarkeit sind davon nicht betroffen.

READ MORE