IT-Onlinemagazin
SAP hat zum Mai-Patchday 17 neue und aktualisierte Security Notes veröffentlicht, darunter drei als HotNews eingestufte Schwachstellen. Besonderes Gewicht erhält der Patchday durch einen Lieferketten-Angriff auf SAP-Entwickler, der bereits Ende April für Aufmerksamkeit sorgte.
Schwachstellen, die sofort geprüfen werden sollten
Der dringlichste Fall betrifft nicht das klassische Patch-Geschäft: Mit Security Note #3747787 reagierte SAP am 30. April auf einen Lieferketten-Angriff, bei dem Angreifer schadhaften Code in weit verbreitete npm-Pakete des SAP Cloud Application Programming (CAP) Model eingeschleust hatten. Die Schadsoftware – als Variante des sogenannten „Shai-Hulud“-Wurms identifiziert – zielte auf den automatisierten Diebstahl von Cloud-Credentials, Service-Tokens und privaten Schlüsseln ab. Die manipulierten Pakete waren am 29. April für ein Zeitfenster von zwei bis vier Stunden verfügbar. Wer im Entwicklungsteam in diesem Zeitraum ein Update gezogen hat, muss die betroffenen Systeme auf Kompromittierung prüfen. Bereinigte Paketversionen wurden umgehend nachgeliefert.
Security Note #3733064 (CVSS 9.6) schließt eine fehlende Authentifizierungsprüfung in der Konfiguration von SAP Commerce Cloud. Eine zu permissive Sicherheitskonfiguration mit fehlerhafter Regelreihenfolge ermöglichte es unauthentifizierten Angreifern, manipulierte Konfigurationsdaten hochzuladen und Code einzuschleusen – mit dem Ergebnis der vollständigen serverseitigen Codeausführung.
Ebenfalls mit CVSS 9.6 bewertet ist Security Note #3724838, die eine SQL-Injection-Schwachstelle in SAP S/4HANA (SAP Enterprise Search for ABAP) adressiert. Durch unzureichende Eingabevalidierung kann ein authentifizierter Angreifer manipulierte SQL-Statements einschleusen, die Vertraulichkeit und Verfügbarkeit der Anwendung erheblich beeinträchtigen. Die Integrität bleibt nach Herstellerangaben unberührt, da der betroffene Quellcode nur Lesezugriff auf Daten erlaubt.
High-Priority: OS-Command-Injection-Schwachstelle
Die einzige High-Priority-Note des Mai-Patchdays, #3732471 (CVSS 8.2), behebt OS-Command-Injection-Schwachstellen in fünf Funktionsbausteinen von SAP Forecasting & Replenishment. Ein authentifizierter Angreifer mit administrativen Berechtigungen kann darüber beliebige Betriebssystembefehle ausführen. Die Note wurde in Zusammenarbeit mit den Onapsis Research Labs entwickelt, die in diesem Monat insgesamt sieben Schwachstellen in drei Security Notes beigetragen haben.
Was die weiteren Medium-Priority-Notes betreffen
Unter den zwölf Medium-Priority-Notes stechen zwei hervor, die ebenfalls auf Onapsis-Meldungen zurückgehen: Eine fehlende Berechtigungsprüfung im SAP Strategic Enterprise Management (Balanced Scorecard Wizard, CVSS 5.4) erlaubt es authentifizierten Angreifern, unberechtigte Informationen einzusehen und Risikoeinschätzungen durch manipulierte Wertfelder zu verfälschen. Eine Reflected-XSS-Schwachstelle im SAP NetWeaver AS ABAP (Business Server Pages, CVSS 4.7) ermöglicht unauthentifizierten Angreifern, über manipulierte URL-Parameter Schadcode im Browser des Opfers auszuführen.
Weitere Patches betreffen OS-Command-Injection in SAP NetWeaver AS ABAP (CVSS 6.5), eine Information-Disclosure-Lücke in SAP HCM für S/4HANA (CVSS 6.5), eine fehlende Berechtigungsprüfung in der S/4HANA-Konditionspflege (CVSS 6.3) sowie CSRF-Schwachstellen in der SAP BusinessObjects BI Platform und XSS-Lücken in SAPUI5 und weiteren Business-Server-Pages-Anwendungen.
Wie Unternehmen jetzt priorisieren sollten
Der Mai-Patchday liegt mit 17 Notes im durchschnittlichen Bereich – die tatsächliche Brisanz liegt jedoch im Lieferketten-Angriff vom April. Er zeigt exemplarisch, dass SAP-Sicherheit längst nicht mehr an den Systemgrenzen endet: Open-Source-Abhängigkeiten in Entwicklungsumgebungen sind ein realer Angriffsvektor, der in vielen SAP-Betriebskonzepten noch unterbewertet ist. Für Entwicklungsteams, die mit dem CAP-Modell arbeiten, ist eine Prüfung der eingesetzten Paketversionen und eine Überprüfung der Zugangsdaten auf Kompromittierung unmittelbar erforderlich. Die drei HotNews-Notes sollten unabhängig davon nach dem bekannten Risiko-basierten Ansatz zeitnah eingespielt werden.
