Alarmstufe Rot für Unternehmens-ERP: SAP Patch Day: Code-Injection in S/4HANA entdeckt

SAP hat zum August Patch Day 26 neue und aktualisierte Sicherheitshinweise veröffentlicht, darunter vier HotNews und drei als High Priority eingestufte Hinweise. Elf dieser Patches sind Aktualisierungen bestehender Hinweise. Die Sicherheitsupdates decken eine breite Palette von Schwachstellen ab – von kritischen Code-Injection-Lücken bis hin zu Cross-Site-Scripting-Fehlern.

Kritische Code-Injection-Sicherheitslücke in SAP S/4HANA und SAP Landscape Transformation

Die schwerwiegendste Schwachstelle betrifft ein remote-fähiges SAP-Funktionsmodul in S/4HANA, das Angreifern ermöglicht, beliebigen Code einzuschleusen.

• Security Note #3627998: CVSS-Score 9.9, betrifft S/4HANA (Private Cloud und On-Premise). Ohne Patch ist eine vollständige Kompromittierung des Systems möglich, wodurch Vertraulichkeit, Integrität und Verfügbarkeit stark gefährdet sind.
• Security Note #3633838: Behebt dieselbe Lücke für SAP-ECC-Systeme mit installiertem Add-on Data Migration Server (DMIS) ab Version 2011_1_700.

Beide Hinweise werden durch FAQ-Dokumente ergänzt, die technische Details zu betroffenen Releases und möglichen Folgen enthalten.

Zwei weitere HotNews-Hinweise (#3581961 und #3610892) wurden aktualisiert. Letzterer beinhaltet nun einen Workaround für Systeme, bei denen der Patch noch nicht eingespielt werden kann.

Die SAP Security Notes im August umfassen folgende Highlights:

• Zwei neue HotNews-Hinweise zu einer Code-Injection-Lücke, die sowohl S/4HANA als auch SAP ECC betrifft.
• Beitrag der Onapsis Research Labs bei der Schließung von fünf Schwachstellen in verschiedenen SAP-Komponenten.
• Drei High Priority Notes, darunter eine kritische „Broken Authorization“-Lücke in SAP Business One (SLD) mit CVSS-Score 8.8, die es ermöglicht, unbefugt Administratorrechte zu erlangen.

High Priority Notes im Detail

Neben der Lücke in SAP Business One wurden weitere Schwachstellen in der SAP NetWeaver-Umgebung behoben:

• Security Note #3611184: Behebt eine Speicherkorruptionslücke in der BIC-Document-Anwendung (CVSS-Score 8.8) sowie eine Reflected-XSS-Schwachstelle (CVSS-Score 6.1).
• Security Note #3600846: Ergänzung eines weiteren HMAC-Schlüssels, der unter Umständen neu generiert werden muss.

Der Beitrag von Onapsis

Die Onapsis Research Labs unterstützten SAP bei der Behebung von insgesamt fünf Schwachstellen, die in vier Sicherheitshinweisen dokumentiert sind. Neben den oben genannten Lücken wurden unter anderem folgende Probleme geschlossen:

• Security Note #3629871: Cross-Site-Scripting-Lücke in SAP NetWeaver ABAP (CVSS-Score 6.1).
• Security Note #3597355: Ähnliche XSS-Schwachstelle in SAP NetWeaver Application Server for ABAP.
• Security Note #3601480: Information-Disclosure-Lücke, die autorisierten Administratoren Zugriff auf sensible Daten in Log-Dateien ermöglichte.

Zusammenfassung und Fazit

Der Patch Day im August fällt im Vergleich zum Juli etwas ruhiger aus. Viele Hinweise betreffen Aktualisierungen bereits bekannter Lücken, und die beiden neuen HotNews behandeln dasselbe Problem in unterschiedlichen Systemen. Dennoch ist das Risiko für ungepatchte Systeme hoch – besonders wegen der Code-Injection-Lücke in S/4HANA und SAP ECC. Unternehmen sollten diese Patches umgehend priorisieren, um ihre geschäftskritischen Systeme abzusichern.