SAP Security Patch Day 02/2022 – für jeden was dabei!
Der SAP Security Patch Day des Februar 2022 war einmal mehr recht umfangreich: allein 7 Hinweise mit der höchsten Risikobewertung (CVSS-Score=10). Darüber hinaus sind weitere kritisch bewertete Korrekturen (mit CVSS-Score 9,1 oder 8,7) finden sich auf der am Dienstag veröffentlichten Liste.1
Wie immer wollen wir in diesem Blog berichten, wie wir die SAP Security Notes auf unser eigenes, produktives SAP HCM System anwenden. Durch den Upload mit der Transaktion SNOTE wird automatisch geprüft, ob einspielbare Korrekturen enthalten sind. Insbesondere bei sehr hoch priorisierten Hinweisen untersuchen wir den Hinweis trotzdem zusätzlich manuell, um zu prüfen, ob weitere Aktivitäten notwendig sind.
SAP-Kernel Patch notwendig
Dies ist auch gleich beim ersten Hinweis (3123396) der Fall, welcher die Schwachstelle mit der offiziellen Nummer CVE-2022-225362 und einer Bewertung von CVSS=10 adressiert. Der SAP ICM ist ungepatched für ein sogenanntes Request Smuggling anfällig – diese Sicherheitslücke wurde auf den Namen „ICMAD“ getauft. Auch Behörden wie das US DHS CISA3 oder die SAP4 selbst weisen auf die besondere Kritikalität dieser Schwachstelle hin.
Die Korrektur erfolgt jedoch nicht über Anpassungen im ABAP-Quelltext, sondern durch ein Update auf den SAP-Kernel und den SAP-Webdispatcher. Einen entsprechenden Austausch der Kernel-Dateien konnten wir direkt für den Dienstagabend gemeinsam mit unserem SAP-Basis-Team einplanen und umsetzen.
SAP Business Client
Der Hinweis 2622660 wird monatlich aktualisiert und beschreibt welche Patches für den SAP Business Client und das darin enthaltene Chromium PlugIn bereitgestellt wurden. Die konkrete Risikobewertung ist abhängig vom verwendeten Release und bisher eingespielten Patch-Level und variiert dementsprechend – erreicht aber in einigen Fällen durchaus den Höchstwert mit CVSS=10.
Als Gegenmaßnahme muss der SAP Business Client regelmäßig auf das letzte verfügbare Patch-level gebracht werden. Konsequenz: nach dem Download vom SAP-Support Portal haben wir direkt den Rollout für die Arbeitsplatzumgebungen unserer Mitarbeiter gestartet.
Log4j ist noch nicht vorbei
Auch im Februar wird der größte Anteil (5 Hinweis) an SAP Security Notes noch von der log4j Schwachstelle5 bestimmt. Erwähnenswert ist, dass 3131047 ein Sammelhinweis ist, der diesen Monat nochmal aktualisiert wurde: zu den 23 bereits im Januar veröffentlichen Hinweise sind im Februar nochmal 18 neue hinzugekommen. Auch hier gilt: Security Notes mit dieser Kritikalität sollten – auch wenn sie laut Transaktion SNOTE nicht einspielbar sind – nochmal manuell geprüft und gelesen werden. Mit dem Fokus auf unser HCM System ergaben sich allerdings keine weiteren Aktivitäten.
Eingespielte Hinweise
Drei Security Notes wurden in der Transaktion SNOTE als „automatisch einspielbar“ bewertet:
- 3140587 SQL Injection vulnerability in SAP NetWeaver
- 3124994 Cross-Site Scripting (XSS) vulnerability
- 3126489 Missing Authorization check in SAP ERP HCM Product
Nach Prüfung der Korrekturen wurde entschieden, dass diese direkt ins System übernommen werden können, da die verwendeten Gegenmaßnahmen (passendes Encoding, zusätzliche Berechtigungsprüfung) kein funktionales Risiko erwarten lassen. Das Einspielen per SNOTE erfolgte problemlos ohne weitere manuelle Tätigkeiten.
Das war es für diesen Monat – wir berichten in vier Wochen an dieser Stelle wieder über den SAP Security Patch Day aus dem März.