Patchday: SAP-Updates schließen Remote-Einfallstore in Business Warehouse
Zwei kritische Lücken ermöglichten Angriffe aus der Ferne bei niedrigen Zugriffsrechten auf BW und BW/4HANA. Zudem hat SAP noch weitere Produkte aktualisiert.
(Bild: heise online (Collage))
SAP hat zum Januar-Patchday gleich zwei kritische Sicherheitslücken aus seiner Business-Intelligence-Software Business Warehouse (BW) beseitigt; eine davon betrifft zusätzlich auch SAP BW/4HANA. Ein entfernter Angreifer mit niedrigen Zugriffsrechten könnte die Lücken zur vollständigen Systemkompromittierung missbrauchen, weshalb Admins zeitnah reagieren sollten. Updates stehen außerdem für SAP NetWeaver AS ABAP (Sicherheitslücke mit "High"-Einstufung) sowie für eine Reihe von Produkten bereit, die gegen diverse "Medium"- und eine "Low"-Lücke abgesichert wurden.
SAPs Advisory zum Security Patchday fasst wie immer sämtliche Aktualisierungen zusammen. Die Zusammenfassung weist auch auf einige aktualisierte Sicherheitshinweise aus den Vormonaten hin, auf die Anwender der betreffenden Produkte ebenfalls einen Blick werfen sollten. Im Advisory verlinkte Security Notes liefern im geschützten Kundenbereich Zusatz- und Update-Informationen.
BW & BW/4HANA: Verwundbare Versionen und Updates
Nähere Informationen zu den beiden kritischen Sicherheitslücken CVE-2021-21465 und CVE-2021-21466 liefert die National Vulnerability Database (NVD). Demnach fußt via CVE-2021-21465 auf unzureichender Überprüfung beziehungsweise "Bereinigung" von SQL-Befehlen durch das BW-Datenbank-Interface vor deren Ausführung. Mittels SQL Injection könne das SAP-System durch einen entfernten Angreifer mit niedrigen Zugriffsrechten letztlich vollständig übernommen werden.
SAP nennt in diesem Zusammenhang als zusätzliche CVE-ID noch CVE-2021-21468 – eine "Medium"-Lücke, die ebenfalls das Datenbank-Interface betrifft und die dank fehlender Authentifizierungs-Checks das Auslesen beliebiger Tabellen ermöglichen kann.
Zum Ausnutzen der zweiten kritischen Lücke CVE-2021-21466 sind laut NVD ebenfalls mindestens niedrige Zugriffsrechte erforderlich. Mittels eines bestimmten Funktionsmoduls sei aus der Ferne möglich, Code zu injizieren, um einen schädlichen ABAP-Report zu generieren. Auf diesem Umwege könnten Angreifer auf sensible Daten zugreifen oder Befehle auf dem System ausführen, mit denen sich unter anderem ein Denial-of-Service-Zustand herbeiführen ließe.
CVE-2021-21465 und die Medium-Lücke CVE-2021-21468 betreffen SAP BW in den Versionen 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755 und 782. Via CVE-2021-21466 sind SAP BW 700, 701, 702, 711, 730, 731, 740, 750 und 782 und SAP BW4HANA 100 und 200 angreifbar. Update-Informationen sind SAPs Advisory zu entnehmen.
(ovw)