Thought Leadership
Im Dezember hat SAP insgesamt 17 neue oder aktualisierte Sicherheitshinweise veröffentlicht. Darunter befinden sich vier HotNews- und fünf High-Priority-Patches, die kritische Schwachstellen in verschiedenen SAP-Komponenten schließen.
Besonders hervorzuheben sind zwei HotNews-Lücken, die in enger Zusammenarbeit mit den Onapsis Research Labs identifiziert und behoben wurden.
Kritische HotNews-Lücken
Eine der gravierendsten Sicherheitslücken betrifft den SAP Solution Manager. Ein Fehler in einem Funktionsbaustein ermöglichte Code-Injection durch authentifizierte Angreifer. Die Schwachstelle erhielt einen CVSS-Score von 9.9 und konnte die Vertraulichkeit, Integrität und Verfügbarkeit des Systems gefährden. Der Patch fügt eine Eingabebereinigung hinzu und wird dringend für alle betroffenen Systeme empfohlen.
Die zweite HotNews-Lücke betrifft das SAP jConnect SDK für Sybase Adaptive Server Enterprise. Hier konnten über manipulierte Eingaben Remote-Code-Ausführung und Systemzugriffe erfolgen. Die Schwachstelle erhielt einen CVSS-Score von 9.1. Da dafür weitreichende Berechtigungen notwendig sind, wurde sie nicht mit der maximalen Punktzahl bewertet.
Ein weiterer kritischer Hinweis richtet sich an Nutzer der SAP Commerce Cloud. Betroffen ist eine ältere Version von Apache Tomcat, die für zwei Sicherheitslücken anfällig ist. Der Patch aktualisiert Tomcat und schützt vor potenziellen Angriffen auf vertrauliche Daten und die Systemstabilität.
High-Priority-Updates
Neben den HotNews-Patches wurden fünf Sicherheitslücken mit hoher Priorität geschlossen. Dazu zählt unter anderem die Deaktivierung unsicherer Schnittstellen im SAP Web Dispatcher und SAP Internet Communication Manager, die für Testzwecke vorgesehen waren. Angreifer könnten diese Schnittstellen ausnutzen, um Diagnosedaten zu erlangen oder Dienste zu stören.
Weitere Updates betreffen Speicherfehler, die zu Systeminstabilität führen können, sowie Denial-of-Service-Lücken in SAP NetWeaver Remote Service for XCelsius und SAP Business Objects. Auch in SAP S/4 HANA Private Cloud wurde eine Autorisierungsprüfung ergänzt, um den Zugriff auf sensible Daten über verschiedene Company Codes hinweg zu verhindern.
Die Onapsis Research Labs unterstützten SAP bei der Identifizierung und Behebung mehrerer kritischer Schwachstellen. Zwei der HotNews-Lücken und zwei High-Priority-Updates wurden in enger Zusammenarbeit mit dem Team von Onapsis veröffentlicht. Damit tragen die Forscher erneut maßgeblich zur Sicherheit von SAP-Systemen bei und stärken den Schutz vor gezielten Angriffen.
Fazit
Der Dezember-Patch-Day unterstreicht erneut die Notwendigkeit regelmäßiger Updates in SAP-Systemlandschaften. Die Kombination aus HotNews- und High-Priority-Patches zeigt, wie vielfältig die Angriffsflächen sind und welche Risiken ohne zeitnahe Patches bestehen. Unternehmen sollten die Sicherheitshinweise umgehend prüfen und die empfohlenen Updates implementieren, um Systemkompromittierungen zu verhindern.
Weitere Details und umfassende Informationen zu allen Sicherheitshinweisen sowie zu den Aktivitäten der Onapsis Research Labs finden Interessierte auf dem Onapsis-Blog.
