Aktuelle Patches

Hier findet ihr eine Übersicht der SAP Security Notes für Januar 2025:

1. Score 9.9  (Hot News)

Nummer: 3537476

[CVE-2025-0070] Falsche Authentifizierung in SAP NetWeaver ABAP Server und ABAP-Plattform

Mit dem SAP NetWeaver Application Server für ABAP und der ABAP-Plattform besteht für einen authentifizierten Angreifer die Möglichkeit, unbefugten Zugriff auf das System zu erhalten, indem er Schwächen in der Authentifizierungsprüfung ausnutzt. Dies kann zu einer Eskalation der Berechtigungen führen und im Erfolgsfall Sicherheitsrisiken hervorrufen. Solche Vorfälle könnten erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Systems haben.

2. Score 9.9  (Hot News)

Nummer: 3550708

[CVE-2025-0066] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP NetWeaver AS für ABAP und ABAP-Plattform (Internet Communication Framework)

Unter bestimmten Umständen kann SAP NetWeaver AS für ABAP und die ABAP-Plattform (Internet Communication Framework) einem Angreifer aufgrund unzureichender Zugriffskontrollen den Zugang zu vertraulichen Informationen ermöglichen. Dies könnte gravierende Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit einer Anwendung haben.

3. Score 8.8   (High priority)

Nummer: 3550816

[CVE-2025-0063] SQL-Injection-Schwachstelle in SAP NetWeaver AS für ABAP und ABAP-Plattform

Wenn ein Benutzer bestimmte RFC-Funktionsbausteine aufruft, wird von SAP NetWeaver AS ABAP und der ABAP-Plattform keine Berechtigungsprüfung durchgeführt. Dies eröffnet einem Angreifer mit einfachen Benutzerrechten die Möglichkeit, Zugriff auf die Daten in der Informix-Datenbank zu erlangen, was die Vertraulichkeit, Integrität und Verfügbarkeit der Daten vollständig gefährden kann.

4. Score 8.7   (High priority)

Nummer: 3469791

[CVE-2025-0061] Mehrere Schwachstellen in SAP-BusinessObjects-Business-Intelligence-Plattform

Dieser Sicherheitshinweis von SAP beschreibt zwei Schwachstellen, die in der BusinessObjects-Business-Intelligence-Plattform erkannt wurden. Im Folgenden werden die Details zu den Schwachstellen sowie die entsprechenden CVE- und CVSS-Bewertungen erläutert:

  • Informationsoffenlegung (CVE-2025-0061): Aufgrund einer Sicherheitslücke in der Plattform kann ein nicht authentifizierter Angreifer über das Netzwerk ein Session-Hijacking durchführen, ohne dass eine Benutzerinteraktion erforderlich ist. Dadurch erhält der Angreifer Zugriff auf Benutzerdaten innerhalb der Anwendung und hat die Möglichkeit, diese zu verändern.

    CVSS-Wertung: 8.7; CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N
  • Code Injection (CVE-2025-0060): Ein Benutzer mit eingeschränkten Rechten hat die Möglichkeit, schädlichen JavaScript-Code in das System einzuschleusen. Dieser Code kann vertrauliche Informationen vom Server auslesen und an den Angreifer weiterleiten. Darüber hinaus kann der Angreifer diese Informationen nutzen, um sich als ein Benutzer mit erweiterten Berechtigungen auszugeben, was gravierende Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung haben kann.

    CVSS-Wertung: 6.5; CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

5. Score 7.8   (High priority)

Nummer: 3542533

[CVE-2025-0069] DLL-Hijacking-Schwachstelle in SAPSetup

Eine Schwachstelle im SAPSetup ermöglicht es einem Angreifer, mithilfe von DLL-Injection erweiterte Zugriffsrechte zu erlangen. Ein lokaler Benutzer oder jemand mit Zugang zu einem kompromittierten Windows-Konto eines Unternehmens kann diese Sicherheitslücke ausnutzen, um sich im Netzwerk lateral zu bewegen und das Active Directory weiter anzugreifen. Dies stellt ein erhebliches Risiko für die Vertraulichkeit, Integrität und Verfügbarkeit des betroffenen Windows-Servers dar.

6. Score 6.5   (Mediumpriority)

Nummer: 3542698

[CVE-2025-0058] Schwachstelle bezüglich der Offenlegung von Informationen in SAP Business Workflow und SAP Flexible Workflow

Ein authentifizierter Angreifer kann in SAP Business Workflow und SAP Flexible Workflow einen Parameter in einer legitimen Ressourcenanfrage manipulieren. Dadurch erhält er Zugriff auf vertrauliche Informationen, die normalerweise nur eingeschränkt einsehbar sein sollten. Der Angreifer hat jedoch keine Möglichkeit, die angezeigten Daten zu verändern oder ihren Zugriff einzuschränken.

7. Score 6.3   (Medium priority)

Nummer: 3540108

[CVE-2025-0067] Fehlende Berechtigungsprüfung in SAP NetWeaver Application Server Java

Eine fehlende Berechtigungsprüfung für bestimmte Service-Endpunkte im SAP NetWeaver Application Server Java ermöglicht es einem Angreifer mit Standardbenutzerrechten, JCo-Verbindungseinträge zu erstellen. Diese Einträge können sowohl für eingehende als auch ausgehende Remote Function Calls des Anwendungsservers genutzt werden. Obwohl diese Schwachstelle nur geringe Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung hat, stellt sie dennoch ein potenzielles Sicherheitsrisiko dar.

8. Score 6.0   (Medium priority)

Nummer: 3502459 

[CVE-2025-0056] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP GUI for Java

Die SAP GUI für Java speichert Benutzerdaten auf dem Client-Computer, um die Nutzungserfahrung zu verbessern. Wenn ein Angreifer Administratorrechte besitzt oder Zugang zum Benutzerverzeichnis auf Betriebssystemebene hat, kann er diese Informationen einsehen. Je nachdem, welche Daten der Benutzer in den Transaktionen eingibt, können die offengelegten Informationen von unkritischen bis hin zu hochsensiblen Daten reichen, was die Vertraulichkeit der Anwendung erheblich gefährden kann.

9. Score 6.0   (Medium priority)

Nummer: 3472837

[CVE-2025-0055] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP GUI for Windows

Die SAP GUI für Windows speichert Eingaben der Nutzer auf dem Client, um die Nutzung zu erleichtern. Unter besonderen Bedingungen könnte ein Angreifer, der über Administratorrechte oder Zugriff auf das Benutzerverzeichnis auf Betriebssystemebene verfügt, in der Lage sein, diese Daten auszulesen. Abhängig von den eingegebenen Informationen in Transaktionen könnten dabei Daten aufgedeckt werden, die von unkritisch bis hin zu hochsensibel reichen, was die Vertraulichkeit der Anwendung erheblich gefährdet.

10. Score 6.0   (Medium priority)

Nummer: 3503138

[CVE-2025-0059] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP NetWeaver Application Server ABAP (Anwendungen, die auf SAP GUI for HTML basieren)

Anwendungen, die auf der SAP GUI for HTML im SAP NetWeaver Application Server ABAP basieren, speichern Eingaben der Nutzer im lokalen Browser-Speicher, um die Bedienung zu erleichtern. Ein Angreifer, der über Administratorrechte verfügt oder Zugang zum Benutzerverzeichnis auf Betriebssystemebene hat, kann diese Daten einsehen. Je nach den eingegebenen Informationen in den Transaktionen können die offengelegten Daten von wenig kritischen bis hin zu hochsensiblen Informationen reichen, was erhebliche Risiken für die Vertraulichkeit der Anwendung darstellt.

11. Score 5.3   (Medium priority)

Nummer: 3536461

[CVE-2025-0053] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP NetWeaver Application Server für ABAP und ABAP-Plattform

Der SAP NetWeaver Application Server für ABAP und die ABAP-Plattform bieten einem Angreifer die Möglichkeit, unbefugt auf Systeminformationen zuzugreifen. Durch Manipulation eines spezifischen URL-Parameters kann ein nicht authentifizierter Angreifer Informationen wie die Systemkonfiguration einsehen. Dies stellt nur eine geringe Bedrohung für die Vertraulichkeit der Anwendung dar, könnte jedoch als Grundlage für weitergehende Angriffe oder Exploits dienen.

12. Score 4.8   (Medium priority)

Nummer: 3514421

[CVE-2025-0057] Cross-Site-Scripting-Schwachstelle in SAP NetWeaver AS JAVA (Benutzerverwaltungsanwendung)

Die SAP NetWeaver AS JAVA (User Admin Application) weist eine Schwachstelle in Form von Stored Cross-Site-Scripting (XSS) auf. Ein Angreifer, der sich als Administrator ausgibt, könnte ein Bild mit schädlichem JavaScript-Code hochladen. Wenn ein Opfer die betroffene Komponente aufruft, wäre der Angreifer in der Lage, Daten im Webbrowser des Opfers zu lesen und zu manipulieren.

13. Score 4.3   (Medium priority)

Nummer: 3550674

[CVE-2025-0068] Fehlende Berechtigungsprüfung in Remote Function Call (RFC) in SAP NetWeaver Application Server ABAP

Eine nicht mehr aktualisierte Funktion im SAP NetWeaver Application Server ABAP führt keine angemessenen Berechtigungsprüfungen durch. Dadurch könnte ein authentifizierter Angreifer auf Informationen zugreifen, die normalerweise nicht zugänglich wären. Diese Lücke hat jedoch keine Auswirkungen auf die Integrität oder Verfügbarkeit der Anwendung.

Wir empfehlen euch dringend, die Patches mit (sehr) hoher und mittlerer Priorität so schnell wie möglich zu installieren. Je schneller ihr reagiert, desto besser schützt ihr eure SAP-Landschaft vor Angriffen.

Aktuelle Patches

Hier findet ihr eine Übersicht der SAP Security Notes für Dezember 2024:

1. Score 9.1  (Hot News)

Nummer: 3520281

[CVE-2024-47578] Mehrere Schwachstellen in SAP NetWeaver AS für JAVA (Adobe Document Services)

Dieser Sicherheitshinweis bezieht sich auf mehrere Schwachstellen in den Adobe Document Services von SAP NetWeaver AS für JAVA. Nachfolgend sind die Details der Sicherheitslücken sowie die zugehörigen CVE- und CVSS-Informationen aufgeführt:

CVE-2024-47578
Die Adobe Document Services weisen eine Schwachstelle auf, bei der ein Angreifer mit Administratorrechten speziell gestaltete Anfragen über eine anfällige Webanwendung senden kann. Dies kann für Angriffe auf interne Systeme genutzt werden, die durch Firewalls geschützt sind und normalerweise nicht aus externen Netzwerken erreichbar sind. Die Schwachstelle ermöglicht serverseitige Request-Forgery-Angriffe. Ein erfolgreicher Angriff erlaubt es dem Angreifer, Dateien zu lesen, zu modifizieren oder das gesamte System lahmzulegen.

  • CVSS-Wert: 9.1
  • Bewertung: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

CVE-2024-47579
Ein authentifizierter Angreifer mit Administratorrechten kann über einen bereitgestellten Web-Service PDF-Schriftartdateien hoch- oder herunterladen. Durch Nutzung der Upload-Funktion, die eine interne Datei in eine Schriftartdatei umwandelt, und anschließendes Herunterladen dieser Datei kann der Angreifer jede Datei auf dem Server auslesen, ohne dabei die Integrität oder Verfügbarkeit des Systems zu beeinträchtigen.

  • CVSS-Wert: 6.8
  • Bewertung: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N

CVE-2024-47580
Ein authentifizierter Administrator kann eine Schwachstelle in einem freigelegten Web-Service ausnutzen, um PDF-Dateien mit eingebetteten Anhängen zu erstellen. Indem er dabei interne Serverdateien einbindet und die generierten PDFs herunterlädt, kann er beliebige Dateien auf dem Server auslesen, ohne die Integrität oder Verfügbarkeit des Systems zu beeinträchtigen.

  • CVSS-Wert: 6.8
  • Bewertung: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N

2. Score 8.8   (High priority)

Nummer: 3520281

[CVE-2024-47590] Cross-Site-Scripting-Schwachstelle (XSS) in SAP Web Dispatcher

Ein nicht authentifizierter Angreifer kann einen manipulierten Link erstellen und öffentlich zugänglich machen. Klickt ein authentifizierter Nutzer auf diesen Link, werden die übermittelten Eingabedaten von der Webseite verarbeitet, um Inhalte zu generieren. Dies ermöglicht dem Angreifer entweder die Ausführung von Code im Browser des Nutzers (XXS) oder die Übermittlung von Daten an einen anderen Server (SSRF). Auf diese Weise kann der Angreifer beliebigen Code auf dem Server ausführen und die Vertraulichkeit, Integrität sowie Verfügbarkeit des Systems vollständig kompromittieren.

Änderungsprotokoll:

  • v12 (Aktuelle Version)Update vom 10. Dezember 2024: Der SAP-Hinweis wurde überarbeitet, insbesondere im Abschnitt „Ursache und Voraussetzungen“, und erneut veröffentlicht. Es sind keine kundenseitigen Maßnahmen erforderlich.
  • v9 (Initialversion)

3. Score 8.5   (High priority)

Nummer: 3469791

[CVE-2024-54198] Schwachstelle mit Blick auf Offenlegung von Informationen über Remote Function Call (RFC) in SAP NetWeaver Application Server ABAP

SAP NetWeaver Application Server ABAP kann unter bestimmten Bedingungen einem authentifizierten Angreifer ermöglichen, Anfragen für Remote-Function-Calls (RFC) an eingeschränkte Ziele zu senden. Dabei werden Anmeldeinformationen für einen Remote-Service bereitgestellt, die der Angreifer missbrauchen könnte. Dadurch besteht das Risiko, den Remote-Service vollständig zu gefährden, was erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung haben könnte.

4. Score 7.5   (High priority)

Nummer: 3504390

[CVE-2024-47586] NULL-Pointer-Dereferenz-Schwachstelle in SAP NetWeaver Application Server für ABAP und ABAP-Plattform

Ein nicht authentifizierter Angreifer hat die Möglichkeit, auf SAP NetWeaver Application Server für ABAP und die ABAP-Plattform einen speziell präparierten HTTP-Request zu senden. Dieser kann eine NullPointer-Dereferenz im Kernel auslösen, wodurch das System abstürzt und einen Neustart durchführt. Dies führt zu einer vorübergehenden Nichtverfügbarkeit des Systems. Wird die Anfrage wiederholt gesendet, kann die Anwendung dauerhaft außer Betrieb gesetzt werden. Die Vertraulichkeit und Integrität bleiben dabei unbeeinträchtigt.

5. Score 7.2   (High priority)

Nummer: 3542543

[CVE-2024-54197] Serverseitige Request Forgery in SAP NetWeaver Administrator (Systemübersicht)

Der SAP NetWeaver Administrator (Systemübersicht) erlaubt es einem authentifizierten Angreifer, durch gezielt erstellte HTTP-Requests zugängliche HTTP-Endpunkte im internen Netzwerk aufzulisten. Bei erfolgreicher Ausführung dieser Schwachstelle kann eine serverseitige Request-Forgery (SSRF) ausgelöst werden. Diese kann geringfügige Auswirkungen auf die Integrität und Vertraulichkeit der Daten haben, jedoch bleibt die Verfügbarkeit der Anwendung unbeeinträchtigt.

6. Score 5.3   (Medium priority)

Nummer: 3351041

 [CVE-2024-47582] XML-Entitätserweiterungsschwachstelle in SAP NetWeaver AS JAVA

Ein nicht authentifizierter Angreifer kann schädliche Eingaben an einen Endpunkt senden, da die XML-Eingaben nicht ausreichend validiert werden. Dies ermöglicht einen XML-Entity-Expansion-Angriff, der die Verfügbarkeit der Anwendung geringfügig beeinträchtigen kann.

7. Score 5.3   (Medium priority)

Nummer: 3524933

[CVE-2024-32732] Schwachstelle bezüglich der Offenlegung von Informationen in SAP-BusinessObjects-Business-Intelligence-Plattform

Die SAP-BusinessObjects-Business-Intelligence-Plattform kann unter bestimmten Umständen einem Angreifer Zugriff auf Informationen gewähren, die normalerweise geschützt sind. Dies beeinträchtigt die Vertraulichkeit geringfügig, hat jedoch keine Auswirkungen auf die Integrität oder Verfügbarkeit der Anwendung.

8. Score 4.3   (Medium priority)

Nummer: 3536361

[CVE-2024-47585] Fehlende Berechtigungsprüfung in SAP NetWeaver Application Server für ABAP und ABAP-Plattform

Ein authentifizierter Angreifer kann in SAP NetWeaver Application Server für ABAP und der ABAP-Plattform durch Ausnutzung fehlerhafter Berechtigungsprüfungen unbeabsichtigt höhere Zugriffsebenen erhalten. Dies führt zu einer Eskalation der Berechtigungen. Obwohl Import- und Exportrechte separat behandelt werden sollten, wird in diesem Fall nur eine einzelne Berechtigung angewendet, was zusätzliche Risiken mit sich bringt. Wird diese Schwachstelle erfolgreich ausgenutzt, könnte dies zu Sicherheitsbedenken führen. Die Integrität und Verfügbarkeit der Anwendung bleiben jedoch unberührt, und die Auswirkungen auf die Vertraulichkeit der Daten sind minimal.

9. Score 4.3   (Medium priority)

Nummer: 3515653

Aktualisierung 1 zu Sicherheitshinweis 3433545: [CVE-2024-42375] Mehrere Schwachstellen beim uneingeschränkten Datei-Upload in SAP-BusinessObjects-Business-Intelligence-Plattform

Dieser Sicherheitshinweis stellt eine Aktualisierung des ursprünglichen Sicherheitshinweises 3433545 dar. Die zuvor bereitgestellte Korrektur in diesem Hinweis ist nicht mehr gültig.

Kunden sollten diesen aktuellen SAP-Sicherheitshinweis implementieren, um die vollständige und korrekte Korrektur zu erhalten. Falls der Sicherheitshinweis 3433545 bereits angewendet wurde, ist es notwendig, diesen neuen Sicherheitshinweis zu integrieren, um die vollständige Behebung sicherzustellen.

Der Hinweis behandelt drei Schwachstellen im Zusammenhang mit dem uneingeschränkten Datei-Upload in der SAP-BusinessObjects-Business-Intelligence-Plattform. Nachfolgend finden Sie die Details zu den Schwachstellen sowie die zugehörigen CVE- und CVSS-Informationen:

CVE-2024-42375
Ein authentifizierter Angreifer kann über das Netzwerk schädlichen Code hochladen, der von der SAP-BusinessObjects-Business-Intelligence-Plattform ausgeführt werden könnte. Bei erfolgreichem Ausnutzen der Schwachstelle könnte die Integrität der Anwendung leicht beeinträchtigt werden.

  • CVSS-Wert: 4.3
  • Bewertung: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

CVE-2024-28166
Ein nicht authentifizierter Angreifer hat die Möglichkeit, schädliche Dateien über das Netzwerk in das BI-Datei-Repository hochzuladen. Um die Dateiformatprüfung des Frontends zu umgehen, sind tiefgehende Systemkenntnisse erforderlich. Wenn diese Schwachstelle erfolgreich ausgenutzt wird, kann der Angreifer bestimmte Daten verändern, was geringe Auswirkungen auf die Integrität der Anwendung hat.

  • CVSS-Wert: 3.7
  • Bewertung: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

CVE-2024-41731
Ein authentifizierter Angreifer kann schadhafte Dateien über das Netzwerk in das BI-Datei-Repository hochladen. Auch hier sind fundierte Systemkenntnisse notwendig, um die Dateiformatprüfung des Frontends zu umgehen. Bei erfolgreichem Ausnutzen dieser Schwachstelle könnte der Angreifer die Integrität der Anwendung leicht beeinträchtigen.

  • CVSS-Wert: 3.1
  • Bewertung: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:N

10. Score 4.3   (Medium priority)

Nummer: 3433545

[CVE-2024-42375] Mehrere Schwachstellen beim uneingeschränkten Datei-Upload in SAP-BusinessObjects-Business-Intelligence-Plattform

Dieser Sicherheitshinweis bezieht sich auf drei Schwachstellen im Zusammenhang mit dem uneingeschränkten Datei-Upload in der SAP-BusinessObjects-Business-Intelligence-Plattform. Im Folgenden sind die Details zu den jeweiligen Schwachstellen sowie die zugehörigen CVE- und CVSS-Informationen aufgeführt:

CVE-2024-42375
Ein authentifizierter Angreifer kann über das Netzwerk schädlichen Code hochladen, der von der Anwendung ausgeführt werden könnte. Wenn diese Schwachstelle erfolgreich ausgenutzt wird, kann der Angreifer die Integrität der Anwendung geringfügig beeinträchtigen.

  • CVSS-Wert: 4.3
  • Bewertung: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

CVE-2024-28166
Ein nicht authentifizierter Angreifer hat die Möglichkeit, schadhafte Dateien über das Netzwerk in das BI-Datei-Repository hochzuladen. Um die Prüfung des Frontend-Dateiformats zu umgehen, sind tiefgehende Systemkenntnisse erforderlich. Durch das erfolgreiche Ausnutzen der Schwachstelle kann der Angreifer Daten ändern, was zu geringen Auswirkungen auf die Integrität der Anwendung führt.

  • CVSS-Wert: 3.7
  • Bewertung: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

CVE-2024-41731
Ein authentifizierter Angreifer kann schadhafte Dateien über das Netzwerk in das BI-Datei-Repository hochladen. Auch hier sind fundierte Systemkenntnisse erforderlich, um die Dateiformatprüfung des Frontends zu umgehen. Wird die Schwachstelle erfolgreich ausgenutzt, kann der Angreifer die Integrität der Anwendung geringfügig beeinträchtigen.

  • CVSS-Wert: 3.1
  • Bewertung: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:N

11. Score 3.5   (Low priority)

Nummer: 3504847

[CVE-2024-47576] DLL-Hijacking-Schwachstelle in SAP Product Lifecycle Costing

Die Client-Anwendung von SAP Product Lifecycle Costing (Versionen vor 4.7.1) lädt bei Bedarf eine DLL, die standardmäßig mit dem Windows-Betriebssystem geliefert wird. Diese DLL wird auf dem Computer geladen, auf dem die Client-Anwendung ausgeführt wird. Es besteht die Möglichkeit, dass diese DLL durch eine schadhafte Version ersetzt wird, die dann Befehle im Kontext der Client-Anwendung ausführt. Wird diese Schwachstelle erfolgreich ausgenutzt, könnte dies die Vertraulichkeit der Anwendung geringfügig beeinträchtigen, jedoch keine Auswirkungen auf ihre Integrität und Verfügbarkeit haben.

12. Score 3.5   (Low priority)

Nummer: 3535451

[CVE-2024-47577] Schwachstelle im Hinblick auf das Offenlegen von Informationen in SAP Commerce Cloud

Im Assisted Service Modul von SAP Commerce Cloud gibt es eine Schwachstelle bei den Web-Service-API-Endpunkten, die zu einer unbeabsichtigten Offenlegung von Informationen führen kann. Wenn ein autorisierter Agent nach Kunden sucht, um deren Konten zu verwalten, werden Kundendaten in der URL der Anfrage übermittelt und in den Serverprotokollen gespeichert. Ein Angreifer, der sich als autorisierter Administrator ausgibt, könnte diese Protokolle einsehen und so auf die Kundendaten zugreifen. Die Menge der offenbarten vertraulichen Informationen ist jedoch sehr begrenzt, und der Angreifer hat keinerlei Kontrolle darüber, welche Daten er einsehen kann.

Wir empfehlen euch dringend, die Patches mit (sehr) hoher und mittlerer Priorität so schnell wie möglich zu installieren. Je schneller ihr reagiert, desto besser schützt ihr eure SAP-Landschaft vor Angriffen.

Sicher im Blick: SAP Security auf den Punkt gebracht mit dem werthAUDITOR Dashboard

Warum eine klare Übersicht Ihrer SAP-Sicherheitslage entscheidend ist

Die Sicherheitslandschaft in SAP-Systemen ist komplex, dynamisch und oft unübersichtlich. IT-Verantwortliche und Sicherheitsexperten stehen vor der Herausforderung, nicht nur aktuelle Bedrohungen und Schwachstellen zu identifizieren, sondern auch klare und verständliche Berichte für das Management zu liefern. Genau hier setzt der werthAUDITOR an – ein Dashboard, das die wichtigsten Kennzahlen Ihrer SAP-Systeme übersichtlich und intuitiv darstellt. Aber warum ist das so wichtig?

Das Kundenbedürfnis: Sicherheit auf einen Blick, auch für das Management verständlich

Die meisten Unternehmen wünschen sich eine aktuelle, präzise und visuell ansprechende Übersicht ihrer Sicherheitslage. Niemand hat die Zeit, sich durch endlose Logs oder manuell generierte Berichte zu arbeiten. Sicherheitsentscheidungen müssen schnell und fundiert getroffen werden – und dabei geht es nicht nur um Technik, sondern auch um die Kommunikation mit dem Management. Das Ziel: komplexe Informationen so aufzubereiten, dass auch Nicht-Techniker sofort die Dringlichkeit und den Handlungsbedarf erkennen können.

Die Lösung: werthAUDITOR SAP Security Dashboard

Unser werthAUDITOR Dashboard macht genau das: Es übersetzt komplexe Sicherheitsdaten in eine klar strukturierte Übersicht, die sowohl für technische als auch für nicht-technische Stakeholder geeignet ist.

Was bietet das Dashboard konkret?

  • Live-Überblick über Schwachstellen und Bedrohungen: Mit interaktiven Diagrammen und Grafiken, wie z. B. den aktuellen Schwachstellen pro System oder Bedrohungen im Zeitverlauf.
  • Key Performance Indicators (KPIs): Ein prägnanter Durchschnittswert Ihrer Sicherheitslage, ideal zur Kommunikation mit dem Management.
  • Detaillierte Einblicke: Neben der Managementebene können Experten tiefer in Schwachstellenkategorien, offene Sicherheitsfragen und Systemkonfigurationen eintauchen.
  • Automatisierte Analysen: Keine manuelle Konsolidierung von Daten – das Dashboard zieht alle relevanten Informationen direkt aus Ihren Systemen.

Der Mehrwert für Unternehmen

Das Dashboard schafft Transparenz, wo früher oft Unsicherheit herrschte. Mit der klaren Visualisierung kritischer Schwachstellen und Sicherheitskennzahlen können Sie:

  1. Prioritäten setzen: Ressourcen auf die dringlichsten Themen lenken.
  2. Management überzeugen: Maßnahmen mit fundierten Zahlen untermauern.
  3. Compliance sicherstellen: Anforderungen wie BSI-Grundschutz oder SAP Baseline schneller erfüllen.

Ein Beispiel aus der Praxis

Stellen Sie sich vor, das Management fragt Sie im wöchentlichen Meeting: „Wie steht es um die Sicherheitslage unserer SAP-Systeme?“ Mit dem werthAUDITOR müssen Sie keine umfangreichen Berichte zusammenstellen. Stattdessen präsentieren Sie eine präzise Übersicht – beispielsweise die durchschnittlichen Sicherheits-KPIs, offene Schwachstellen nach Kategorien oder die Fortschritte bei der Behebung kritischer Themen. Das spart Zeit, Nerven und sorgt für Klarheit.

Fazit: Der werthAUDITOR – Ihr Schlüssel zu besserer SAP-Sicherheit

In einer Zeit, in der Sicherheitsbedrohungen immer komplexer werden, ist eine klare Übersicht unverzichtbar. Der werthAUDITOR macht es einfach, jederzeit die Kontrolle zu behalten – von der IT-Abteilung bis zum Vorstand. Testen Sie unser Dashboard und erleben Sie, wie einfach und effektiv SAP-Sicherheitsmanagement sein kann.


Haben Sie Interesse an einer Demo? Kontaktieren Sie uns noch heute und lassen Sie sich überzeugen!

Aktuelle Patches

Hier findet ihr eine Übersicht der SAP Security Notes für November 2024:

1. Score 8.8   (High priority)

Nummer: 3520281

[CVE-2024-47590] Cross-Site-Scripting-Schwachstelle (XSS) in SAP Web Dispatcher

Ein Angreifer ohne Authentifizierung kann einen bösartigen Link erstellen und diesen öffentlich zugänglich machen. Klickt ein authentifizierter Benutzer auf diesen Link, werden dessen Eingaben von der Webseiten-Generierung verarbeitet. Dadurch erhält der Angreifer die Möglichkeit, über das Opfer-Browserfenster (XXS) oder die Datenweiterleitung zu einem anderen Server (SSRF) beliebigen Code auszuführen. Dies kann die Vertraulichkeit, Integrität und Verfügbarkeit der Serverinhalte vollständig beeinträchtigen.

2. Score 7.7   (High priority)

Nummer: 3483344

[CVE-2024-39592] Fehlende Berechtigungsprüfung in SAP PDCE

Bestimmte Komponenten in SAP PDCE führen für authentifizierte Benutzer keine notwendigen Berechtigungsprüfungen durch, was zu einer möglichen Ausweitung der Rechte führt. Dadurch kann ein Angreifer auf vertrauliche Informationen zugreifen, was die Vertraulichkeit der Anwendung erheblich gefährdet.

Änderungshistorie:

  • v11 (aktuell) – UPDATE 12. November 2024: Dieser SAP-Hinweis wurde mit ergänzenden Anweisungen zur Fehlerbehebung erneut veröffentlicht. Die Korrekturen für SEM-BW 600 stehen nun zur Verfügung.

  • v9 (vorher) – UPDATE 25. September 2024: Erneute Veröffentlichung dieses SAP-Hinweises mit überarbeiteten Korrekturdetails. Korrekturen für SEM-BW 602 bis SEM-BW 748 wurden bereitgestellt.

  • v7 (erste Version)

3. Score 6.5   (Medium priority)

Nummer: 3335394

[CVE-2024-42372] Fehlende Berechtigungsprüfung in SAP NetWeaver AS Java (System Landscape Directory)

Durch das Fehlen einer Berechtigungsprüfung in SAP NetWeaver AS Java (System Landscape Directory) können nicht autorisierte Benutzer auf bestimmte eingeschränkte globale SLD-Konfigurationen zugreifen und diese verändern. Dies hat moderate Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung.

4. Score 6.3   (Medium priority)

Nummer: 3509619

[CVE-2024-47595] Lokale Berechtigungseskalation im SAP Host-Agent

Ein Angreifer, der Mitgliedschaft in der lokalen Gruppe sapsys erlangt, könnte geschützte lokale Dateien ersetzen. Ein erfolgreicher Angriff hätte jedoch nur begrenzte Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung.

5. Score 5.3   (Medium priority)

Nummer: 3393899

[CVE-2024-47592] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP NetWeaver Application Server Java (Anmeldeanwendung)

Ein nicht authentifizierter Angreifer kann in SAP NetWeaver AS Java die Anmeldefunktion missbrauchen, um gültige Benutzer-IDs aufzudecken. Dabei wird die Vertraulichkeit beeinträchtigt, während Integrität und Verfügbarkeit unberührt bleiben.

6. Score 5.3   (Medium priority)

Nummer: 3504390

[CVE-2024-47586] NULL-Pointer-Dereferenz-Schwachstelle in SAP NetWeaver Application Server für ABAP und ABAP-Plattform

Auf SAP NetWeaver Application Server für ABAP und der ABAP-Plattform kann ein Angreifer ohne Authentifizierung einen böswillig gestalteten HTTP-Request senden, der eine NullPointer-Dereferenz im Kernel auslöst. Dies führt zu einem Systemabsturz und Neustart, wodurch das System vorübergehend nicht verfügbar ist. Die Vertraulichkeit und Integrität bleiben dabei unbeeinträchtigt.

7. Score 4.7   (Medium priority)

Nummer: 3522953

[CVE-2024-47588] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver Java (Software Update Manager)

In SAP NetWeaver Java (Software Update Manager 1.1) werden Anmeldeinformationen unter bestimmten Bedingungen, wenn bei einem Software-Upgrade Fehler auftreten, in Klartext in eine Protokolldatei geschrieben. Ein Angreifer mit lokalem Zugriff auf den Server, der sich als nicht administrativer Benutzer authentifiziert, kann die Anmeldeinformationen aus den Protokollen abrufen. Dies hat hohe Auswirkungen auf die Vertraulichkeit, ohne dass sich dies auf die Integrität oder Verfügbarkeit auswirkt.

8. Score 4.3   (Medium priority)

Nummer: 3508947

[CVE-2024-47593] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver Application Server für ABAP und ABAP-Plattform

Durch eine Sicherheitslücke im SAP NetWeaver Application Server ABAP können unbefugte Personen über das Netzwerk auf bestimmte Dateien zugreifen. Voraussetzung hierfür ist die Nutzung eines Web Dispatchers oder Proxy-Servers sowie der vorherige Zugriff auf die Datei über die SAP-GUI-for-HTML. Die Funktionalität der Anwendung bleibt hiervon unberührt.

9. Score 3.5   (Low priority)

Nummer: 3498470

[CVE-2024-47587] Fehlende Berechtigungsprüfung in SAP Cash Management (Cash-Vorgänge)

Das System führt bei Cash-Vorgängen keine ausreichenden Berechtigungsprüfungen durch. Dadurch können autorisierte Benutzer auf Funktionen zugreifen, für die sie eigentlich keine Berechtigung besitzen. Obwohl Benutzer mehr Rechte erhalten als vorgesehen, stellt dies keine ernsthafte Sicherheitsbedrohung dar.

10. Score 3.5   (Low priority)

Nummer: 3392049

[CVE-2024-33000] Fehlende Berechtigungsprüfung in SAP Bank Account Management

Eine Lücke in der Berechtigungsprüfung des SAP Bank Account Managements führt zu einer unerwünschten Erweiterung von Benutzerrechten. Dadurch können Benutzer unbeabsichtigt auf mehr Funktionen zugreifen als vorgesehen. Diese Schwachstelle hat jedoch nur geringe Auswirkungen auf die Vertraulichkeit der Daten. Die aktuelle Version (v12) dieses Sicherheitshinweises vom 12. November 2024 enthält keine neuen Informationen. Für eine optimale Datenkonsistenz empfehlen wir zusätzlich die Implementierung des Sicherheitshinweises 3498470.

Dies waren die Security Notes für Novemver 2024. Schnappt euch eine Tasse Kaffee oder Tee und ran an`s Patchen. 

Transparenz und Sicherheit in SAP-Transformationsprojekten mit werthANALYST

Im Zuge von Transformationsprojekten stehen Unternehmen zunehmend vor der Herausforderung, ihre komplexen IT- und SAP-Landschaften zu steuern und sicherzustellen, dass alle Systeme, Verbindungen und Benutzerrechte optimal aufeinander abgestimmt sind. Die werth IT GmbH aus Kamen bietet mit der werthAUDITOR Plattform eine umfassende Lösung für diese Herausforderungen. Zentral dabei ist der werthANALYST – ein leistungsstarkes Modul, das eine vollständige Übersicht über alle Verbindungen und Berechtigungen innerhalb der SAP-Umgebung ermöglicht und somit die Grundlage für eine reibungslose Transformation bietet.

Was ist werthANALYST?

Der werthANALYST ist speziell darauf ausgelegt, alle wichtigen Verbindungen und Berechtigungen in SAP-Systemlandschaften sichtbar zu machen. Die Lösung bietet eine detaillierte, grafische Darstellung aller Kommunikationswege und Verbindungen zwischen Systemen. So wird schnell und transparent ersichtlich, welche Systeme miteinander kommunizieren, welche Benutzer Zugriff haben und welche Art der Verbindung – etwa eine Trust-Verbindung – dafür genutzt wird. Dies ist besonders in Transformationsprojekten von Bedeutung, da durch die vollständige Übersicht potenzielle Stolperfallen identifiziert werden können, bevor sie zu Problemen führen.

Zentrale Funktionen des werthANALYST:

  • Analyse der (RFC-)Verbindungen und Systemkommunikation: Erfassung und grafische Darstellung aller Verbindungen zwischen den Systemen, inklusive Informationen über die Art der Verbindung, wie z. B. Trust- oder stored User RFC-Verbindungen.
  • Benutzer- und Berechtigungsanalyse: Auswertung, welche Benutzer welche Verbindungen nutzen und mit welchen Berechtigungen sie ausgestattet sind. Hierbei wird sichtbar, ob eine Verbindung möglicherweise zu wenig oder zu viele Berechtigungen hat.
  • Sicherheit durch Berechtigungsübersicht: Der werthANALYST hilft dabei, übermäßige Zugriffsrechte schnell zu identifizieren, die potenzielle Sicherheitsrisiken darstellen könnten.
  • Systeminformationen und Patch-Level: Alle relevanten Systeminformationen wie Patches, Mandanten und Default-User werden dokumentiert und analysiert.
  • Übersicht über Schnittstellen: Mit einer umfassenden Übersicht über alle Schnittstellen wie IDOCs, ODATA und mehr, sorgt werthANALYST für Klarheit und Kontrolle über Datenflüsse.

Der Nutzen für Transformationsprojekte: Risiken minimieren, Prozesse sichern

Eine der größten Herausforderungen bei Transformationsprojekten ist die Sicherstellung, dass alle für Geschäftsprozesse notwendigen Verbindungen bestehen und die Berechtigungen korrekt gesetzt sind. Eine fehlerhafte Berechtigung oder eine übersehene Verbindung kann schnell einen gesamten Prozess lahmlegen oder erhebliche Sicherheitsrisiken bergen. Der werthANALYST verhindert dies, indem er die vollständige Übersicht über alle Verbindungen und Berechtigungen bietet.

  • Sicherstellung der Prozessstabilität: Durch die klare Visualisierung der Verbindungen und der dahinterliegenden Berechtigungen wird sichergestellt, dass alle Systeme reibungslos miteinander kommunizieren können und wichtige Prozesse nicht durch fehlende Verbindungen gestört werden.
  • Minimierung von Sicherheitsrisiken: Zugriffe mit übermäßigen Rechten werden sofort sichtbar gemacht, wodurch potenzielle Sicherheitslücken frühzeitig geschlossen werden können.
  • Effizienzsteigerung in der Systemwartung: Die regelmäßige Analyse der Systeminformationen und Verbindungen hilft dabei, Sicherheitslücken und veraltete Patches rechtzeitig zu identifizieren, sodass der laufende Betrieb nicht beeinträchtigt wird.

Fazit

Mit werthANALYST bieten wir unseren Kunden eine unverzichtbare Lösung zur Sicherung ihrer SAP-Umgebungen. Das Tool hilft Unternehmen, alle kritischen Verbindungen und Berechtigungen im Blick zu behalten, um Transformationsprojekte erfolgreich umzusetzen und gleichzeitig die IT-Sicherheit zu erhöhen. Egal ob Schnittstellen, Berechtigungen oder Kommunikationswege – werthANALYST gibt Ihnen die Kontrolle und Transparenz, die Sie benötigen.

Erfahren Sie mehr über werthANALYST und unsere Lösungen auf www.werth-it.de – für eine sichere, transparente und erfolgreiche Transformation Ihrer SAP-Landschaft.

Aktuelle Patches

Hier findet ihr eine Übersicht der SAP Security Notes für Oktober 2024:

1. Score 9.8   (Hot News)

Nummer: 3479478

[CVE-2024-41730] Fehlende Authentifizierungsprüfung in SAP-BusinessObjects-Business-Intelligence-Plattform

Wenn die Enterprise-Authentifizierung in SAP BusinessObjects Business Intelligence für Single Sign-On aktiviert ist, besteht die Möglichkeit, dass ein nicht autorisierter Benutzer über einen REST-Endpunkt ein Anmeldetoken erhält. Dies könnte zu einer erheblichen Gefährdung des Systems führen und hat weitreichende negative Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit.

Änderungsprotokoll:

v20 (aktuelle Version) – AKTUALISIERUNG 8. Oktober 2024: Mit neuen Informationen zu Support-Paketen und Patches wurde dieser SAP-Hinweis aktualisiert. Die Korrektur ist in 4.2 SP009 verfügbar.

v12 (vorherige Version) – UPDATE 20. August 2024: Dieser Hinweis wurde erneut veröffentlicht und enthält aktualisierte Informationen zur Gültigkeit sowie zusätzliche Behelfslösungen im Abschnitt „Lösung“.

v9 (Initiale Version)

2. Score 8.0   (High priority)

Nummer: 3523541

[CVE-2022-23302] Mehrere Schwachstellen in SAP Enterprise Project Connection

Die Versionen der Open-Source-Bibliotheken Spring-Framework und Log4j, die in SAP Enterprise Project Connection verwendet werden, könnten anfällig für die im Abschnitt „Weitere Begriffe“ dieses SAP-Sicherheitshinweises aufgeführten CVEs sein.

3. Score 7.7   (High priority)

Nummer: 3478615

[CVE-2024-37179] Schwachstelle mit Blick auf unsicheren Dateibetrieb in SAP-BusinessObjects-Business-Intelligence-Plattform (Web Intelligence)

Die SAP-BusinessObjects-Business-Intelligence-Plattform ermöglicht authentifizierten Benutzern, gezielt Anfragen an den Web Intelligence Reporting Server zu stellen. Dadurch können sie beliebige Dateien von dem Rechner herunterladen, auf dem der Dienst gehostet wird, was erhebliche Auswirkungen auf die Vertraulichkeit der Anwendung hat.

4. Score 6.5   (Medium priority)

Nummer: 3495876

[Mehrere CVEs] Mehrere Schwachstellen in SAP Replication Server (FOSS)

In den Open-Source-Software-Bibliotheken (FOSS) OpenSSL und Spring Framework, die von SAP Replication Server bereitgestellt werden, wurden mehrere Schwachstellen festgestellt: CVE-2023-0215, CVE-2022-0778 und CVE-2023-0286. SAP Replication Server ist jedoch nicht von diesen Schwachstellen betroffen, da die anfälligen Funktionen aus den FOSS nicht verwendet werden. Dennoch könnten diese verwundbaren FOSS potenziell die Installationsumgebung angreifbar machen.

Änderungsprotokoll:

v9 (Aktuelle Version) – UPDATE 8. Oktober 2024: Dieser SAP-Hinweis wurde mit geringfügigen Textkorrekturen im Abschnitt „Symptom“ aktualisiert. Es sind keine Änderungen vorgenommen worden, die zusätzliche Schritte von Kunden erfordern.

v7 (Vorgängerversion) – UPDATE 10. September 2024: Dieser SAP-Hinweis wurde mit aktualisierten Lösungsinformationen erneut veröffentlicht.

v6 (Initialversion)

5. Score 6.0   (Medium priority)

Nummer: 3477359

[CVE-2024-45283] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver AS for Java (Destinations Service)

SAP NetWeaver AS for Java bietet einem berechtigten Angreifer die Möglichkeit, sensible Informationen abzurufen. Bei der Erstellung einer RFC-Destination kann der Angreifer sowohl den Benutzernamen als auch das Kennwort erlangen. Nach der erfolgreichen Ausnutzung dieser Schwachstelle hat der Angreifer Zugriff auf bestimmte sensible Informationen, kann jedoch keine Daten ändern oder löschen.

Änderungsprotokoll:

v8 (Aktuelle Version) – UPDATE 08. Oktober 2024: Dieser SAP-Hinweis wurde mit aktualisierten Lösungsinformationen erneut veröffentlicht. Geringfügige Textänderungen an den Lösungsinformationen wurden vorgenommen, die keine Maßnahmen seitens der Kunden erfordern.

v7 (Initialversion)

6. Score 5.4   (Medium priority)

Nummer: 3507545

[CVE-2024-45278] Cross-Site-Scripting-Schwachstelle (XSS) in SAP-Commerce-Backoffice

Das SAP-Commerce-Backoffice kodiert Benutzereingaben unzureichend, wodurch eine Cross-Site-Scripting-Schwachstelle (XSS) entsteht. Bei erfolgreicher Ausnutzung kann ein Angreifer die Vertraulichkeit und Integrität der Anwendung in begrenztem Umfang beeinträchtigen.

7. Score 5.4   (Medium priority)

Nummer: 3503462

[CVE-2013-3587] Schwachstelle im Hinblick auf das Offenlegen von Informationen in SAP Commerce Cloud

Das KMC-Servlet im SAP NetWeaver Enterprise Portal kodiert Benutzereingaben unzureichend, was eine Cross-Site-Scripting-Schwachstelle zur Folge hat. Ein Angreifer könnte ein schädliches Skript erstellen und Benutzer dazu verleiten, darauf zu klicken. Wenn ein registrierter Portalbenutzer einem solchen Link folgt, könnten Vertraulichkeit und Integrität seiner Browsersitzung gefährdet werden.

8.. Score 4.3   (Medium priority)

Nummer: 3520100

[CVE-2024-45277] Prototypverschmutzungs-Schwachstelle im SAP-HANA-Client

Der SAP-HANA-Client weist eine Prototypverschmutzungs-Schwachstelle auf, die unter der Kennung CVE-2024-45277 bekannt ist.

9. Score 4.1  (Medium priority)

Nummer: 3454858 

[CVE-2024-37180] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver Application Server für ABAP und ABAP-Plattform

Unter bestimmten Umständen erlaubt der SAP NetWeaver Application Server für ABAP sowie die ABAP-Plattform einem Angreifer den Zugriff auf remote-fähige Funktionsbausteine, die normalerweise eingeschränkten Berechtigungen unterliegen. Diese Funktion kann verwendet werden, um nicht sensible Informationen zu lesen, was geringe Auswirkungen auf die Vertraulichkeit der Anwendung hat.

Änderungsprotokoll:

v8 (Aktuelle Version) – UPDATE 08. Oktober 2024: Dieser SAP-Hinweis wurde erneut freigegeben, nachdem die manuelle Nacharbeit im Abschnitt „Lösung“ aktualisiert wurde. Der Transaktionscode wurde von SU22 auf SU24 angepasst.

v5 (Vorherige Version) – UPDATE 13. August 2024: Dieser SAP-Hinweis wurde mit neuen Lösungsinformationen aktualisiert und erneut veröffentlicht. Die manuelle Tätigkeit wurde auf die folgenden Releases ausgeweitet:

▪ SAP_BASIS 754 SP00 bis SP08
▪ SAP_BASIS 755 SP00 bis SP06
▪ SAP_BASIS 756 SP00 bis SP04
▪ SAP_BASIS 757 SP00 bis SP02

v3 (Erstveröffentlichung)

Das waren die aktuellen Patches für September 2024. Schnappt euch einen Kaffee und ab ans patchen… Bleibt sicher! 

Aktuelle Patches

Hier findet ihr eine Übersicht der SAP Security Notes für September 2024:

1. Score 7.4   (High priority)

Nummer: 3459935 

[CVE-2024-33003] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP Commerce Cloud

In der SAP Commerce Cloud ermöglichen einige OCC-API-Endpunkte das Einfügen personenbezogener Daten (PII)—darunter Kennwörter, E-Mail-Adressen, Mobiltelefonnummern sowie Coupon- und Gutscheincodes—als Abfrage- oder Pfadparameter in die Anfrage-URL. Sollte dies ausgenutzt werden, könnte es erhebliche Risiken für die Vertraulichkeit und Integrität der Anwendung mit sich bringen.

Änderungsprotokoll:

v29 (Aktuelle Version) – Aktualisierung 10. September 2024: Der Hinweis wurde mit aktualisierten Lösungshinweisen neu veröffentlicht. Das aktuelle SAP-Commerce-Cloud-Update-Release 2211.28 enthält alle erforderlichen Korrekturen.

v22 (Initialversion)

 

2. Score 6.5   (Medium priority)

Nummer: 3488341

[CVE-2024-45286] Fehlende Berechtigungsprüfung in SAP Production and Revenue Accounting (Tobin-Schnittstelle)

Ein Funktionsbaustein in der veralteten Tobin-Schnittstelle von SAP Production and Revenue Accounting ermöglicht aufgrund fehlender Berechtigungsprüfungen unberechtigten Zugriff, der zu einer Offenlegung hochsensibler Daten führen kann. Es gibt jedoch keine Auswirkungen auf die Integrität oder Verfügbarkeit der Daten.

3. Score 6.5   (Medium priority)

Nummer: 3495876

[Mehrere CVEs] Mehrere Schwachstellen in SAP Replication Server (FOSS)

Mehrere Schwachstellen—CVE-2023-0215, CVE-2022-0778 und CVE-2023-0286—wurden in den von SAP Replication Server verwendeten Free-Open-Source-Software-Bibliotheken (FOSS), OpenSSL und Spring Framework, festgestellt. Obwohl SAP Replication Server nicht von diesen Schwachstellen betroffen ist, da die anfälligen Funktionen in den betroffenen FOSS nicht genutzt werden, könnten diese verwundbaren FOSS die Installationsumgebung potenziell angreifbar machen.

Änderungsprotokoll:

v7 (Aktuelle Version) – UPDATE 10. September 2024: Dieser SAP-Hinweis wurde mit aktualisierten Lösungsinformationen erneut veröffentlicht.

v6 (Initialversion)

4. Score 6.1   (Medium priority)

Nummer: 3495876

[CVE-2024-45279] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver Application Server für ABAP (CRM Blueprint Application Builder Panel)

Das CRM Blueprint Application Builder Panel von SAP NetWeaver Application Server für ABAP weist unzureichende Eingabevalidierung auf, die es einem nicht authentifizierten Angreifer ermöglicht, URL-Links zu erstellen, die schädliches JavaScript einbetten. Klickt ein Opfer auf solch einen Link, wird das Skript im Browser des Opfers ausgeführt, wodurch der Angreifer in der Lage ist, sensible Informationen zu erlangen und zu verändern, ohne dabei die Verfügbarkeit der Anwendung zu gefährden.

5. Score 6.1   (Medium priority)

Nummer: 3497347

[CVE-2024-42378] Cross-Site-Scripting (XSS) in eProcurement auf SAP S/4HANA

Durch eine unzureichende Kodierung benutzergesteuerter Eingaben in eProcurement auf SAP S/4HANA können schädliche Skripte innerhalb der Anwendung ausgeführt werden. Dies könnte zu einer Reflected Cross-Site Scripting (XSS)-Schwachstelle führen. Während die Verfügbarkeit der Anwendung nicht betroffen ist, können dennoch geringfügige Auswirkungen auf ihre Vertraulichkeit und Integrität auftreten.

6. Score 6.0   (Medium priority)

Nummer: 3477359

[CVE-2024-45283] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver AS for Java (Destinations Service)

SAP NetWeaver AS for Java ermöglicht es einem berechtigten Angreifer, sensible Informationen abzurufen. Der Angreifer kann beim Erstellen einer RFC-Destination Benutzernamen und Kennwörter einsehen. Obwohl der Angreifer nach erfolgreicher Ausnutzung der Schwachstelle auf diese sensiblen Informationen zugreifen kann, ist es ihm nicht möglich, die Daten zu ändern oder zu löschen.

7. Score 5.9   (Medium priority)

Nummer: 3430336

[CVE-2013-3587] Schwachstelle im Hinblick auf das Offenlegen von Informationen in SAP Commerce Cloud

Die SAP BusinessObjects Business Intelligence Plattform erlaubt es einem Benutzer mit hohen Berechtigungen, Client-Desktop-Anwendungen auszuführen, selbst wenn einige DLLs entweder nicht digital signiert oder deren Signaturen beschädigt sind. Um DLL-bezogene Aufgaben durchzuführen, benötigt der Angreifer lokalen Zugriff auf das betroffene System. Dies kann erhebliche Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung haben.

7. Score 5.8   (Medium priority)

Nummer: 3425287

[CVE-2024-45281] DLL-Hijacking-Schwachstelle in SAP-BusinessObjects-Business-Intelligence-Plattform

Durch die Verwendung der Gzip-HTTP-Komprimierung in der Web-App von SAP Commerce Cloud besteht eine potenzielle Anfälligkeit für BREACH-Angriffe gemäß CVE-2013-3587, wenn bestimmte im folgenden Abschnitt erläuterte Bedingungen erfüllt sind. Dies kann erhebliche Auswirkungen auf die Vertraulichkeit haben, während die Integrität und Verfügbarkeit des Systems nicht beeinträchtigt werden.

9. Score 5.4   (Medium priority)

Nummer: 3488039

[Mehrere CVEs] Mehrere Schwachstellen in SAP NetWeaver Application Server für ABAP und ABAP-Plattform

In diesem Sicherheitshinweis werden sechs Schwachstellen in SAP NetWeaver Application Server für ABAP und der ABAP-Plattform behandelt, die durch fehlende Berechtigungsprüfungen verursacht werden. Im Folgenden sind die Details der Sicherheitslücken sowie die relevanten CVE- und CVSS-Informationen aufgeführt:

  • CVE-2024-42371: Diese Schwachstelle ermöglicht es einem Benutzer mit niedrigen Berechtigungen, die Arbeitsplatzfavoriten beliebiger Benutzer zu löschen. Dies kann verwendet werden, um Benutzernamen zu identifizieren und Informationen über Arbeitsplätze und Knoten der Zielbenutzer zu erlangen. Die Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung sind gering.

    • CVSS: 5.4; CVSS:3.0/AV
       
      /AC
       
      /PR
       
      /UI
       
      /S
       
      /C
       
      /I
       
      /A
       
  • CVE-2024-44117: Hier kann ein Benutzer mit geringen Berechtigungen verschiedene Aktionen ausführen, wie das Ändern der URLs der Favoritenknoten und der Arbeitsmappen-ID eines beliebigen Benutzers. Die Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung sind gering.

    • CVSS: 5.4; CVSS:3.0/AV
       
      /AC
       
      /PR
       
      /UI
       
      /S
       
      /C
       
      /I
       
      /A
       
  • CVE-2024-45285: Diese Schwachstelle erlaubt es einem Benutzer mit niedrigen Berechtigungen, eine Serviceverweigerung für jeden Benutzer auszulösen und Favoritenknoten zu ändern oder zu löschen. Durch das Versenden eines speziell präparierten Pakets werden die SAP GUI-Funktionen des Zielbenutzers unzugänglich. Die Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung sind gering.

    • CVSS: 5.4; CVSS:3.0/AV
       
      /AC
       
      /PR
       
      /UI
       
      /S
       
      /C
       
      /I
       
      /A
       
  • CVE-2024-42380: Ein Benutzer mit geringen Berechtigungen kann die Arbeitsplatzfavoriten und das Benutzermenü eines beliebigen Benutzers einsehen, einschließlich aller spezifischen Knotendaten. Dies ermöglicht das Identifizieren von Benutzernamen. Die Auswirkungen auf die Vertraulichkeit der Anwendung sind gering.

    • CVSS: 4.3; CVSS:3.0/AV
       
      /AC
       
      /PR
       
      /UI
       
      /S
       
      /C
       
      /I
       
      /A
       
  • CVE-2024-44115: Mit dieser Schwachstelle kann ein Benutzer mit niedrigen Berechtigungen URLs zu den Arbeitsplatzfavoriten eines beliebigen Benutzers hinzufügen. Diese Schwachstelle ermöglicht es, Benutzernamen zu identifizieren und auf Informationen zu den Arbeitsplätzen und Knoten des Zielbenutzers zuzugreifen. Die Auswirkungen auf die Integrität der Anwendung sind gering.

    • CVSS: 4.3; CVSS:3.0/AV
       
      /AC
       
      /PR
       
      /UI
       
      /S
       
      /C
       
      /I
       
      /A
       
  • CVE-2024-44116: Ein Benutzer mit niedrigen Berechtigungen kann beliebige Arbeitsmappen zu den Arbeitsplatzfavoriten eines beliebigen Benutzers hinzufügen. Diese Schwachstelle kann verwendet werden, um Benutzernamen zu identifizieren und auf Informationen zu den Arbeitsplätzen des Zielbenutzers zuzugreifen. Die Auswirkungen auf die Integrität der Anwendung sind gering.

    • CVSS: 4.3; CVSS:3.0/AV
       
      /AC
       
      /PR
       
      /UI
       
      /S
       
      /C
       
      /I
       
      /A

10. Score 4.8   (Medium priority)

Nummer: 3505503

[CVE-2024-45280] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver AS Java (Anmeldeanwendung)

Durch eine unzureichende Kodierung benutzergesteuerter Eingaben in SAP NetWeaver AS Java können bösartige Skripte in der Anmeldeanwendung ausgeführt werden. Diese Schwachstelle hat nur begrenzte Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung, während die Verfügbarkeit nicht betroffen ist.

11. Score 4.7   (Medium priority)

Nummer: 3498221

[CVE-2024-44120] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver Enterprise Portal

Aufgrund unzureichender Kodierung benutzergesteuerter Eingaben ist SAP NetWeaver Enterprise Portal anfällig für Reflected Cross-Site Scripting (XSS). Ein nicht authentifizierter Angreifer kann eine bösartige URL erstellen und einen Benutzer dazu verleiten, darauf zu klicken. Wenn das Opfer diese manipulierte URL öffnet, bevor eine Zeitüberschreitung eintritt, kann der Angreifer Inhalte des Benutzers im Browser auslesen und verändern.

12. Score 4.3   (Medium priority)

Nummer: 3505293

[CVE-2024-44112] Fehlende Berechtigungsprüfung in SAP for Oil & Gas (Transport und Verteilung)

 

In SAP for Oil & Gas (Transport und Verteilung) ermöglicht eine fehlende Berechtigungsprüfung, dass sich ein nicht administrativer Benutzer in das System einloggt und eine remote-fähige Funktion aufruft, um Einträge in einer Benutzerdatentabelle zu löschen. Diese Schwachstelle beeinträchtigt weder die Vertraulichkeit noch die Verfügbarkeit der Daten.

13. Score 4.3   (Medium priority)

Nummer: 3481992

[CVE-2024-44113] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP Business Warehouse (BEx Analyzer)

 

SAP Business Warehouse (BEx Analyzer) bietet aufgrund unzureichender Berechtigungsprüfungen einem authentifizierten Angreifer Zugang zu normalerweise eingeschränkten Netzwerkinformationen. Bei erfolgreicher Ausnutzung dieser Schwachstelle kann der Angreifer gezielt Informationen abrufen, die potenziell die Vertraulichkeit der Anwendung gefährden.

14. Score 4.3   (Medium priority)

Nummer: 3481588

[CVE-2024-41729] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP NetWeaver BW (BEx Analyzer)

 

Aufgrund unzureichender Berechtigungsprüfungen erlaubt SAP BEx Analyzer einem authentifizierten Angreifer den Zugriff auf normalerweise eingeschränkte Netzwerkinformationen. Bei erfolgreicher Ausnutzung dieser Schwachstelle kann der Angreifer gezielt Informationen abrufen, die potenziell die Vertraulichkeit der Anwendung beeinträchtigen.

15. Score 2,7  (Medium priority)

Nummer: 2256627

[CVE-2024-45284] Fehlende Berechtigungsprüfung in (SLcM)

Durch unzureichende Zugriffsbeschränkungen in SLcM-Transaktionen kann ein authentifizierter Benutzer Funktionen erreichen, die normalerweise nicht verfügbar sein sollten. Diese unzulässige Rechteausweitung hat nur geringe Auswirkungen auf die Integrität der Anwendung.

16. Score 2,7  (Medium priority)

Nummer: 3496410

[CVE-2024-41728] Fehlende Berechtigungsprüfung in SAP NetWeaver Application Server für ABAP und ABAP-Plattform

Aufgrund einer fehlenden Berechtigungsprüfung erlaubt der SAP NetWeaver Application Server für ABAP und die ABAP-Plattform einem als Entwickler angemeldeten Angreifer, Objekte innerhalb eines Pakets zu lesen. Diese Schwachstelle wirkt sich auf die Vertraulichkeit aus, da der Angreifer unter normalen Umständen keinen Zugriff auf diese Objekte hätte.

17. Score 2,0  (Medium priority)

Nummer: 3507252

[CVE-2024-44114] Fehlende Berechtigungsprüfung in SAP NetWeaver Application Server für ABAP und ABAP-Plattform

 

Im SAP NetWeaver Application Server für ABAP und der ABAP-Plattform können Benutzer mit erweiterten Berechtigungen ein Programm ausführen, das Daten über das Netzwerk preisgibt. Diese Schwachstelle hat nur geringe Auswirkungen auf die Vertraulichkeit der Anwendung.

Das waren die aktuellen Patches für September 2024. Schnappt euch einen Kaffee und ab ans patchen… Bleibt sicher!

Wie man einen SAP-Security Vorfall erkennt und was zu tun ist

In einer Zeit, in der Cyberangriffe zunehmend raffinierter werden, ist SAP-Security ein entscheidendes Thema für jedes Unternehmen, das SAP-Systeme nutzt. Ob Sie IT-Leiter, Sicherheitsbeauftragter oder Geschäftsleiter sind: Die Sicherheit Ihrer SAP-Landschaft hat oberste Priorität. In diesem Artikel zeige ich Ihnen, wie Sie einen SAP-Sicherheitsvorfall erkennen können, wie moderne Tools wie der werthAUDITOR helfen können und welche Schritte Sie ergreifen sollten, wenn ein Cyberangriff entdeckt wurde.

1. Anzeichen eines SAP-Security Vorfalls erkennen

Einen SAP-Sicherheitsvorfall frühzeitig zu identifizieren, ist entscheidend, um größere Schäden zu vermeiden. Hier sind einige typische Anzeichen:

2. Ihr Ass im Ärmel: Wie werthAUDITOR SAP-Systeme schützt

werthAUDITOR bieten eine proaktive Überwachung und Analyse von SAP-Systemen, um Sicherheitsvorfälle frühzeitig zu erkennen. Die vom Bundesministerium für Wirtschaft und Energie ausgezeichnete Lösung nutzt intelligente Algorithmen und Echtzeitüberwachung, um potenzielle Schwachstellen zu identifizieren und Unternehmen vor Cyberangriffen zu schützen.

Entdecken Sie die entscheidenden Vorteile von werthAUDITOR für Ihre SAP-Sicherheit:

3. Die nächsten Schritte bei einem entdeckten Cyberangriff

Sollte ein Sicherheitsvorfall in Ihrem SAP-System entdeckt werden, ist schnelles und koordiniertes Handeln gefragt. 

Hier sind die wichtigsten Schritte:

1. Isolierung des Vorfalls:
Trennen Sie betroffene Systeme sofort vom Netzwerk, um eine Ausbreitung des Angriffs zu verhindern. Das Ziel ist, die Auswirkungen zu minimieren.

2. Vorfallsanalyse:
Nutzen Sie Ihre Sicherheitslösungen, um den Umfang des Angriffs zu bewerten. Sammeln Sie Protokolle und führen Sie forensische Analysen durch, um den Ursprung und die Art des Vorfalls zu identifizieren.

3. Benachrichtigung des Incident Response Teams:
Ein gut vorbereitetes Incident Response Team sollte sofort aktiviert werden. Dies könnte interne Sicherheitsexperten oder externe Partner umfassen, die Erfahrung mit SAP-Systemen haben.

4. Ergreifen von Sofortmaßnahmen:
Abhängig von der Art des Vorfalls sollten Schwachstellen geschlossen, Passwörter geändert und Systeme gehärtet werden.

5. Kommunikation:
Informieren Sie alle relevanten Stakeholder, einschließlich der Geschäftsleitung und möglicherweise auch Aufsichtsbehörden, über den Vorfall. Eine offene und transparente Kommunikation ist hier entscheidend.

6. Wiederherstellung und Monitoring:
Sobald die Bedrohung behoben ist, stellen Sie den normalen Betrieb wieder her und verstärken das Monitoring, um sicherzustellen, dass keine weiteren Angriffe erfolgen.

7. Lessons Learned:
Nach der Krise ist vor der Krise. Führen Sie eine Post-Mortem-Analyse durch, um zu verstehen, wie der Angriff passieren konnte, und erarbeiten Sie Maßnahmen, um zukünftige Angriffe zu verhindern.

 

Die Sicherheit von SAP-Systemen ist das Fundament, auf dem der Erfolg vieler Unternehmen ruht. In einer Welt, in der Cyberangriffe immer raffinierter werden, ist es unerlässlich, Bedrohungen frühzeitig zu erkennen und proaktiv zu handeln. Mit bewährten Tools wie dem werthAUDITOR können Sie potenzielle Schäden abwenden, bevor sie entstehen, und Ihre Systeme optimal absichern. Im Ernstfall zählt jede Sekunde – es ist entscheidend, schnell zu reagieren, gezielte Maßnahmen zu ergreifen und die Sicherheitsstrategien ständig zu verbessern.

Erfahren Sie, wie werthAUDITOR Ihre SAP-Systeme unermüdlich schützt. Wir laden Sie zu einem unverbindlichen Beratungsgespräch ein, um Ihnen zu zeigen, wie wir Ihre Sicherheitsstrategie auf das nächste Level heben können.

Bleiben Sie sicher!

Aktuelle Patches

SAP NEWS: Patchday Juli 2024

Hier findet ihr eine Übersicht der SAP Security Notes für Juli 2024:

1. Score 7.7   (High priority)

Nummer: 3483344

[CVE-2024-39592] Fehlende Berechtigungsprüfung in SAP PDCE

Bestimmte Komponenten von SAP PDCE führen für einen authentifizierten Benutzer keine notwendigen Berechtigungsprüfungen durch, was zu einer unberechtigten Rechteausweitung führt. Dies erlaubt einem Angreifer, auf vertrauliche Informationen zuzugreifen, was die Vertraulichkeit der Anwendung erheblich beeinträchtigt.

2. Score 7.2   (High priority)

Nummer: 3490515

[CVE-2024-39597] Falsche Berechtigungsprüfungen auf B2B-Sites mit zusammensetzbarer Storefront für frühe Anmeldung von SAP Commerce

In SAP Commerce ist es möglich, die Funktion für vergessene Kennwörter zu missbrauchen, um auf eine Composable Storefront B2B-Site zuzugreifen, bei der eine frühe Anmeldung und Registrierung aktiviert ist, ohne dass das Konto zuvor vom Händler genehmigt werden muss. Wenn die Site nicht isoliert konfiguriert ist, kann dies auch Zugriff auf andere nicht isolierte frühe Anmeldesites ermöglichen, selbst wenn für diese anderen Sites keine Registrierung aktiviert ist.

3. Score 6.9   (Medium priority)

Nummer: 3466801 

[CVE-2024-39593] Schwachstelle in SAP Landscape Management bezüglich der Offenlegung von Informationen

Mit SAP Landscape Management kann ein authentifizierter Benutzer auf vertrauliche Daten zugreifen, die in der Antwort der REST-Provider-Definition offengelegt werden. Ein erfolgreicher Zugriff kann die Vertraulichkeit der verwalteten Entitäten erheblich beeinträchtigen.

4. Score 6.5  (Medium priority)

Nummer: 3459379 

[CVE-2024-34683] Uneingeschränkter Datei-Upload in SAP Document Builder (HTTP-Service)

Ein authentifizierter Angreifer hat die Möglichkeit, eine schädliche Datei in den Service SAP Document Builder hochzuladen. Öffnet das Opfer diese Datei, kann der Angreifer auf die Informationen im Browser des Opfers zugreifen und diese entweder verändern oder unzugänglich machen.

5. Score 6.1   (Medium priority)

Nummer: 3482217 

[CVE-2024-39594] Mehrere Cross-Site-Scripting-Schwachstellen (XSS) in SAP Business Warehouse – Business Planning and Simulation

Dieser Sicherheitshinweis betrifft zwei Schwachstellen in SAP Business Warehouse: Business Planning and Simulation. Die Details zu den Schwachstellen und ihre CVE-relevanten Informationen finden Sie weiter unten.

6. Score 6.1   (Medium priority)

Nummer: 3468681 

[CVE-2024-34685] Cross-Site-Scripting-Schwachstelle (XSS) in XMLEditor von SAP NetWeaver Knowledge Management

Aufgrund unzureichender Codierung benutzergesteuerter Eingaben kann der XMLEditor von SAP NetWeaver Knowledge Management schädliche Skripte ausführen, was potenziell zu einer Cross-Site-Scripting-Schwachstelle (XSS) führt. Dies beeinträchtigt nicht die Verfügbarkeit der Anwendung, jedoch geringfügig deren Vertraulichkeit und Integrität.

7. Score 6.1   (Medium priority)

Nummer: 3467377 

[Mehrere CVEs] Mehrere Schwachstellen in SAP CRM (WebClient UI)

Der folgende SAP-Sicherheitshinweis behandelt Schwachstellen in SAP CRM (WebClient UI), die wie folgt beschrieben werden:

Reflected-Cross-Site-Scripting (CVE-2024-37173):
Durch unzureichende Eingabevalidierung ermöglicht SAP CRM WebClient UI einem nicht authentifizierten Angreifer das Einbetten eines schädlichen Skripts in einen URL-Link. Beim Klicken auf den Link im Browser des Opfers kann der Angreifer auf Informationen zugreifen oder diese ändern, ohne die Anwendungsverfügbarkeit zu beeinträchtigen. (CVSS-Score: 6.1)

CSS-basiertes Cross-Site-Scripting (CVE-2024-37174):
Die Unterstützung für benutzerdefinierte CSS im SAP CRM WebClient UI kodiert benutzergesteuerte Eingaben nicht ausreichend, was eine XSS-Schwachstelle zur Folge hat. Ein erfolgreicher Angriff kann die Vertraulichkeit und Integrität der Anwendung beeinträchtigen. (CVSS-Score: 6.1)

Server-Side Request Forgery (CVE-2024-39598):
SAP CRM WebClient-UI-Framework erlaubt einem authentifizierten Angreifer, durch speziell gestaltete HTTP-Anfragen die zugänglichen HTTP-Endpunkte im internen Netzwerk aufzulisten, was zur Offenlegung von Informationen führen kann. Diese Schwachstelle hat keine Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung. (CVSS-Score: 5.0)

Fehlende Berechtigungsprüfung (CVE-2024-37175):
SAP CRM WebClient führt für einen authentifizierten Benutzer nicht die erforderlichen Berechtigungsprüfungen durch, was zu einer potenziellen Rechteausweitung und dem Zugriff auf sensible Informationen führen kann. (CVSS-Score: 4.3).

8. Score 5.4   (Medium priority)

Nummer: 3457354 

[CVE-2024-37172] Fehlende Berechtigungsprüfung in SAP S/4HANA Finance für die erweiterte Zahlungsverwaltung

In SAP S/4HANA Finance für erweitertes Zahlungsmanagement werden für authentifizierte Benutzer erforderliche Berechtigungsprüfungen nicht durchgeführt, was zu einer Rechteausweitung führen kann. Dies beeinträchtigt die Vertraulichkeit und Verfügbarkeit der Daten in geringem Maße, hat jedoch keine Auswirkungen auf deren Integrität.

9. Score 5.0  (Medium priority)

Nummer: 3461110 

[CVE-2024-39600] Schwachstelle bezüglich der Offenlegung von Informationen in SAP GUI for Windows

Unter bestimmten Voraussetzungen speichert SAP GUI for Windows das Anmeldepasswort für SAP-Systeme im Speicher, wodurch ein Angreifer Zugriff auf dieses Passwort erlangen und sich als der betroffene Benutzer ausgeben könnte. Dies stellt eine erhebliche Bedrohung für die Vertraulichkeit dar, hat jedoch keine direkten Auswirkungen auf Integrität und Verfügbarkeit der Systeme.

 

10. Score 5.0  (Medium priority)

Nummer: 3485805

[CVE-2024-34689] Erlaubtliste von Callback-URLs in SAP Business Workflow (WebFlow-Services)

Unter bestimmten Bedingungen speichert SAP GUI for Windows das Anmeldepasswort für SAP-Systeme im Speicher. Dadurch könnte ein Angreifer Zugriff auf dieses Passwort erlangen und sich als der betroffene Benutzer ausgeben. Diese Schwachstelle stellt eine ernste Vertraulichkeitsbedrohung dar, beeinträchtigt jedoch nicht die Integrität oder Verfügbarkeit der Systeme direkt.

 

11. Score 5.0  (Medium priority)

Nummer: 3483993 

[CVE-2024-34689] Voraussetzung für Sicherheitshinweis 3458789

Bevor Sie Sicherheitshinweis 3458789 einspielen können, müssen Sie zunächst diesen erforderlichen Sicherheitshinweis berücksichtigen.

 

12. Score 5.0  (Medium priority)

Nummer: 3469958

[CVE-2024-37171] Server-Side Request Forgery (SSRF) in SAP Transportation Management (Collaboration Portal)

SAP Transportation Management (Collaboration Portal) ermöglicht es einem Angreifer mit nicht administrativen Berechtigungen, eine gezielte Anfrage aus einer anfälligen Webanwendung zu senden. Dadurch wird der Anwendungs-Handler veranlasst, eine Anforderung an einen unbeabsichtigten Service zu senden, der möglicherweise Informationen über diesen Service offenlegt. Die erhaltenen Informationen können verwendet werden, um interne Systeme hinter Firewalls anzusprechen, auf die ein Angreifer aus dem externen Netzwerk normalerweise nicht zugreifen kann, was zu einer Server-Side-Request-Forgery-Schwachstelle führt. Es gibt keine Auswirkungen auf die Integrität oder Verfügbarkeit der Anwendung.

 

13. Score 5.0  (Medium priority)

Nummer: 3458789

[CVE-2024-34689] Serverseitige Request Forgery in SAP Business Workflow (WebFlow-Services)

WebFlow-Services von SAP Business Workflow ermöglichen es einem authentifizierten Angreifer, barrierefreie HTTP-Endpunkte im internen Netzwerk aufzuführen, indem er spezielle HTTP-Requests erstellt. Bei erfolgreicher Nutzung kann dies zu einer Offenlegung von Informationen führen. Dies hat keine Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung.

 

18. Score 4.1  (Medium priority)

Nummer: 3392049 

[CVE-2024-33000] Fehlende Berechtigungsprüfung in SAP Bank Account Management

Für einen autorisierten Benutzer führt SAP Bank Account Management keine erforderliche Berechtigungsprüfung durch, was zu einer potenziellen Rechteausweitung führen kann. Diese Schwachstelle hat geringfügige Auswirkungen auf die Vertraulichkeit des Systems.

14. Score 4.7  (Medium priority)

Nummer: 3456952 

[CVE-2024-39599] Ausfall des Schutzmechanismus in SAP NetWeaver Application Server für ABAP und ABAP-Plattform

Ein Fehler im Schutzmechanismus des SAP NetWeaver Application Servers für ABAP und der ABAP-Plattform ermöglicht es einem Entwickler, das konfigurierte Malware-Scanner-API aufgrund eines Programmfehlers zu umgehen. Diese Schwachstelle hat geringfügige Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung.

 
 

15. Score 4.3  (Medium priority)

Nummer: 3476348 

[CVE-2024-39596] Schwachstelle aufgrund fehlender Berechtigungsprüfung in SAP Enable Now

Aufgrund fehlender Berechtigungsprüfungen erlaubt SAP Enable Now einem Autor, Zugriffsberechtigungen auf Informationen auszuweiten, die normalerweise eingeschränkt sein sollten. Ein erfolgreicher Angriff könnte begrenzte Auswirkungen auf die Vertraulichkeit der Anwendung haben.

 

18. Score 3.5  (Low priority)

Nummer: 3392049 

[CVE-2024-33000] Fehlende Berechtigungsprüfung in SAP Bank Account Management

SAP Bank Account Management führt für autorisierte Benutzer keine erforderlichen Berechtigungsprüfungen durch, was zu einer potenziellen Rechteausweitung führen kann. Dies hat geringfügige Auswirkungen auf die Vertraulichkeit des Systems.

Änderungsprotokoll:

  • Version 8 (aktuell) – UPDATE vom 11. Juni 2024: Dieser SAP-Hinweis wurde erneut veröffentlicht mit aktualisierten Anweisungen zur Fehlerbehebung.
  • Version 6 (Erstversion)
 

16. Score 4.1  (Medium priority)

Nummer: 3101986

CSP-Unterstützung für On-Premise-Downport für Codeabhängigkeit im SAP CRM WebClient UI vorbereiten

Korrekturen für Verstöße gegen die Content-Security-Policy (CSP), wie im SAP-Hinweis 3107861 beschrieben, sind erforderlich, um Abhängigkeiten im Code zu beheben.

Weitere Informationen zur Unterstützung der Content-Security-Policy (CSP) für SAP S/4HANA Private Cloud im SAP CRM WebClient UI finden Sie im SAP-Hinweis 3479117: „Aktivieren der CSP-Unterstützung für SAP S/4HANA Private Cloud im SAP CRM WebClient UI“.

Änderungsprotokoll:

  • Version 4 (aktuell) – UPDATE vom 9. Juli 2024: Dieser SAP-Hinweis wurde mit Textänderungen im Titel erneut veröffentlicht.
  • Version 2 (Erstversion)
 

17. Score 4.1  (Medium priority)

Nummer: 3454858

[CVE-2024-37180] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver Application Server für ABAP und ABAP-Plattform

Unter spezifischen Bedingungen gestattet der SAP NetWeaver Application Server für ABAP und die ABAP-Plattform einem Angreifer den Zugriff auf remote-fähige Funktionsbausteine ohne notwendige Berechtigungen, die normalerweise eingeschränkt wären. Diese Schwachstelle kann genutzt werden, um nicht sensible Informationen abzurufen, was jedoch nur geringfügige Auswirkungen auf die Vertraulichkeit der Anwendung hat.

 
 

18. Score 3.5  (Low priority)

Nummer: 3392049

[CVE-2024-33000] Fehlende Berechtigungsprüfung in SAP Bank Account Management

SAP Bank Account Management führt für autorisierte Benutzer keine erforderlichen Berechtigungsprüfungen durch, was zu einer potenziellen Rechteausweitung führen kann. Dies hat geringfügige Auswirkungen auf die Vertraulichkeit des Systems.

Änderungsprotokoll:

  • Version 8 (aktuell) – UPDATE vom 11. Juni 2024: Dieser SAP-Hinweis wurde erneut veröffentlicht mit aktualisierten Anweisungen zur Fehlerbehebung.
  • Version 6 (Erstversion)
 
 

19. Score 3.3  (Low priority)

Nummer: 3476340

 [CVE-2024-34692] Uneingeschränkte Datei-Upload-Schwachstelle in SAP Enable Now

Durch mangelnde Verifizierung des Dateityps oder -inhalts gestattet SAP Enable Now einem authentifizierten Angreifer, beliebige Dateien hochzuladen. Diese Dateien könnten ausführbare Inhalte enthalten, die von Benutzern heruntergeladen und ausgeführt werden könnten, was zur Installation von Malware führen könnte. Ein erfolgreicher Angriff könnte begrenzte Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung haben.

 
 
 

Aktuelle Patches

SAP NEWS: Patchday Juni 2024

Hier findet ihr eine Übersicht der SAP Security Notes für Juni 2024:

1. Score 8.1   (High priority)

Nummer: 3457592

[CVE-2024-37177] Cross-Site-Scripting-(XSS)-Schwachstellen in SAP Financial Consolidation

Dieser Sicherheitshinweis behandelt zwei Schwachstellen in SAP Financial Consolidation. Details und CVE-Informationen finden Sie im SAP-Hinweis.

Reflected XSS

Daten aus nicht vertrauenswürdigen Quellen können über das Netzwerk in die Webanwendung gelangen und den Inhalt der Website ändern. Dies kann die Vertraulichkeit und Integrität der Anwendung erheblich beeinträchtigen.

  • CVE-2024-37177
  • CVSS Score: 8.1; CVSS:3.0/AV
     
    /AC /PR /UI /S /C /I /A
     

Stored XSS

Unzureichende Kodierung benutzergesteuerter Eingaben führt zu einer XSS-Schwachstelle. Dies kann begrenzte Auswirkungen auf die Vertraulichkeit der Anwendung haben.

  • CVE-2024-37178
  • CVSS Score: 5.0; CVSS:3.0/AV
     
    /AC /PR /UI /S /C /I /A

2. Score 7.5   (High priority)

Nummer: 3460407

[CVE-2024-34688] Denial-of-Service (DOS) in SAP NetWeaver AS Java (Meta Model Repository)

Durch den uneingeschränkten Zugriff auf die Metamodell-Repository-Services in SAP NetWeaver AS Java können Angreifer DoS-Angriffe ausführen, die rechtmäßige Benutzer vom Zugriff auf die Anwendung abhalten. Dies beeinträchtigt nicht die Vertraulichkeit und Integrität, hat jedoch erhebliche Auswirkungen auf die Verfügbarkeit der Anwendung.

3. Score 6.5   (High priority)

Nummer: 3459379 

[CVE-2024-34683] Uneingeschränkter Datei-Upload in SAP Document Builder (HTTP-Service)

Eine schädliche Datei kann von einem authentifizierten Angreifer in den Service SAP Document Builder hochgeladen werden. Öffnet ein Opfer diese Datei, kann der Angreifer im Browser des Opfers auf die entsprechenden Informationen zugreifen, sie ändern oder den Zugriff darauf blockieren.

4. Score 6.5  (High priority)

Nummer: 3453170

 [CVE-2024-33001] Denial-of-Service-Angriff (DOS) in SAP NetWeaver und ABAP-Platfform

SAP NetWeaver und die ABAP-Plattform sind anfällig für Angriffe, bei denen ein Angreifer durch Absturz oder Überlastung des Services die Leistung für legitime Benutzer beeinträchtigen kann.

Diese Denial-of-Service-Schwachstelle führt zu Verzögerungen und Unterbrechungen, was die Verfügbarkeit der Anwendung stark beeinträchtigt und die Benutzererfahrung deutlich verschlechtert.

5. Score 6.5   (High priority)

Nummer: 3466175

[CVE-2024-34691] Fehlende Berechtigungsprüfung in SAP S/4HANA („Eingangszahlungsdateien verwalten“)

Die SAP S/4HANA-App „Eingangszahlungsdateien verwalten“ überprüft für authentifizierte Benutzer nicht die notwendigen Berechtigungen, was zu einer Rechteausweitung führen kann. Dies hat erhebliche Auswirkungen auf die Integrität des Systems, jedoch keine Auswirkungen auf dessen Vertraulichkeit und Verfügbarkeit.

6. Score 6.1   (Medium priority)

Nummer: 3465129

[CVE-2024-34686] Cross-Site-Scripting-Schwachstelle (XSS) in SAP CRM (WebClient UI)

Wegen mangelnder Eingabevalidierung im SAP CRM WebClient UI kann ein nicht authentifizierter Angreifer einen bösartigen URL-Link generieren. Klickt ein Opfer auf diesen Link, wird ein schädliches Skript im Browser des Opfers ausgeführt, wodurch der Angreifer Informationen abgreifen oder manipulieren kann, ohne die Verfügbarkeit der Anwendung zu beeinträchtigen.

7. Score 5.5   (Medium priority)

Nummer: 3465455

[CVE-2024-37176] Fehlende Berechtigungsprüfung in SAP-BW/4HANA-Transformation und DTP

Durch die SAP-BW/4HANA-Transformation und den Datentransferprozess (DTP) kann ein authentifizierter Angreifer durch Ausnutzen unzureichender Berechtigungsprüfungen unerwartet höhere Zugriffsebenen erlangen, was zu einer beträchtlichen Rechteausweitung führen kann. Während die Vertraulichkeit der Daten nicht gefährdet ist, können signifikante Beeinträchtigungen der Integrität und Verfügbarkeit der Anwendung auftreten.

8. Score 5.4   (Medium priority)

Nummer: 3457265

[CVE-2024-34690]

SAP Student Lifecycle Management (SLcM) unterzieht authentifizierte Benutzer keinen angemessenen Berechtigungsprüfungen, was zu einer potenziellen Rechteausweitung führt. Im Erfolgsfall könnte ein Angreifer möglicherweise auf normalerweise eingeschränkte Berichtsvarianten zugreifen und diese bearbeiten, was zwar minimale Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung hat, jedoch eine ernsthafte Sicherheitslücke darstellt.

9. Score 5.3  (Medium priority)

Nummer: 3425571

[CVE-2024-28164] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver AS Java (Guided Procedures)

Ein nicht authentifizierter Benutzer kann über SAP NetWeaver AS Java (CAF – Guided Procedures) auf nicht sensible Serverinformationen zugreifen, die normalerweise eingeschränkt wären. Dies hat nur minimale Auswirkungen auf die Vertraulichkeit der Anwendung.

 

10. Score 3.9   (Low priority)

Nummer: 2638217

Schaltbare Berechtigungsprüfungen in Central-Finance-Infrastrukturkomponenten

In diesem SAP-Hinweis werden neue schaltbare Berechtigungsprüfungen in den Infrastrukturkomponenten von Central Finance beschrieben.

Änderungsprotokoll:

v3 (aktuelle Version) – 28. Mai 2024: Der Hinweis wurde mit aktualisierten Informationen zur Korrekturanleitung erneut veröffentlicht.

v1 (Erstversion)

11. Score 3.7   (Low priority)

Nummer: 3441817

[CVE-2024-34684] Schwachstelle bezüglich der Offenlegung von Informationen in SAP-BusinessObjects-Business-Intelligence-Plattform (Scheduling)

Auf Unix-Systemen ermöglicht die SAP-BusinessObjects-Business-Intelligence-Plattform (Scheduling) einem authentifizierten Angreifer mit Administratorzugriff auf dem lokalen Server den Zugriff auf das Kennwort eines lokalen Kontos. Dadurch kann der Angreifer Anmeldeinformationen für nicht-administrative Benutzer abrufen, was ihm wiederum ermöglicht, auf Remote-Serverdateien zuzugreifen oder diese zu ändern.