Thought Leadership
Beim aktuellen Patch Day hat SAP zahlreiche Schwachstellen in zentralen Unternehmenssystemen geschlossen.
Unterstützt wurde der Softwarehersteller dabei von den Onapsis Research Labs, die mehrere Sicherheitsprobleme identifiziert und zur Behebung beigetragen haben. Insgesamt verdeutlichen die Updates, wie kritisch ein konsequentes Patch-Management für den Schutz geschäftskritischer Anwendungen geworden ist.
Viele Updates, mehrere kritische Risiken
Im Februar veröffentlichte SAP knapp dreißig neue oder überarbeitete Sicherheitshinweise. Darunter befanden sich mehrere Meldungen mit besonders hoher Priorität. Einige der Schwachstellen hätten es Angreifern ermöglicht, trotz eingeschränkter Berechtigungen weitreichende Aktionen im System auszuführen oder sensible Daten offenzulegen.
Besonders kritisch war eine Code-Injection-Lücke in SAP-CRM- und S/4HANA-Umgebungen. Über einen fehlerhaften Skript-Editor konnten authentifizierte Nutzer unter Umständen sogar Datenbankbefehle ausführen. Ohne Patch drohte damit eine vollständige Kompromittierung zentraler Systeme.
Weitere schwerwiegende Schwachstellen betrafen unter anderem fehlende Autorisierungsprüfungen im NetWeaver Application Server sowie Sicherheitsprobleme in der Landscape-Transformation-Umgebung. Auch hier konnten Angreifer Funktionen ausführen, die eigentlich geschützt sein sollten.
Gefahren durch Manipulation, Datenabfluss und Systemausfälle
Neben den kritischsten Lücken identifizierte SAP mehrere Probleme mit hoher Priorität. Dazu zählen Angriffe auf signierte XML-Nachrichten, über die sich Identitäten manipulieren oder unbefugte Zugriffe ermöglichen lassen.
Weitere Schwachstellen betrafen Informationslecks in Plug-ins, Denial-of-Service-Angriffe auf Supply-Chain- und Business-Intelligence-Systeme sowie unsichere Weiterleitungen in Webanwendungen. Teilweise konnten selbst nicht authentifizierte Angreifer Dienste zum Absturz bringen oder Nutzer auf manipulierte Webseiten umleiten.
Auch Bibliotheks- und Autorisierungsfehler in Commerce- und Management-Komponenten zeigten, dass Sicherheitsrisiken nicht nur einzelne Module, sondern die gesamte Systemlandschaft betreffen können.
Die Onapsis Research Labs waren an der Analyse und Behebung mehrerer Schwachstellen beteiligt. Insgesamt unterstützte das Team SAP bei acht Sicherheitsproblemen unterschiedlicher Kritikalität. Dazu gehörten neben den besonders kritischen Lücken auch Fehler wie offene Weiterleitungen, Cross-Site-Scripting-Risiken oder unbeabsichtigte Informationsfreigaben über Schnittstellen.
Solche Beiträge externer Sicherheitsforscher sind ein wichtiger Bestandteil moderner Software-Sicherheit, da sie zusätzliche Perspektiven und spezialisierte Analysen einbringen.
