Kritische Schwachstellen in SAP® Business Warehouse und SAP® BW/4HANA

news vulnerability

In einer Reihe von mehreren Sicherheitslücken, die im Jahr 2020 von dem SEC Consult Vulnerability Lab entdeckt und an SAP SE gemeldet wurden, wurden heute zwei weitere mit einem Patch versehen. Dazu gehören Korrekturen für kritische Sicherheitslücken im ABAP-Stack der SAP Business Warehouse und SAP BW/4HANA Komponenten.

[Translate to German:]

 

Mit CVSSv3-Scores von 9.9, ermöglichen CVE-2021-21465 und CVE-2021-21466 Angreifern mit minimalen Privilegien die vollständige Übernahme der betroffenen Anwendungsserver über das Netzwerk. Damit gefährden die verwundbaren Komponenten nicht nur die Vertraulichkeit, sondern auch die Verfügbarkeit und Integrität von Geschäftsdaten, die in IT-Infrastrukturen von Unternehmen gesichert sind. Um die Lücken zu schließen, hat SAP SE heute die entsprechenden Patches veröffentlicht, die durch den SEC Consult Researcher Fabian Hagg entdeckt wurden. Wir empfehlen dringend, die Security-Notes 2986980 und 2999854 umgehend zu installieren, um sich vor diesen Angriffen zu schützen.

Dies sind die neuesten in einer Reihe von Sicherheitslücken, die in der Business Warehouse Komponente identifiziert wurden. Eine weitere Code-Injection Schwachstelle (CVE-2020-26838) wurde von dem SEC Consult Researcher Raschin Tavakoli gefunden und bereits innerhalb des Dezember-Patch Tuesday 2020 behoben. Wir raten dazu, noch einmal zu überprüfen, ob alle zuvor identifizierten Schwachstellen, welche wir im letzten Jahr gemeldet haben, entsprechend geschlossen wurden (siehe Tabelle unten).

Da wir wissen, dass das Einspielen von Patches und Sicherheitsmaßnahmen in geschäftskritische IT-Systeme eine komplexe und schwierige Aufgabe sein kann, orientieren wir uns hier an den Disclosure-Guidelines von SAP SE für die Veröffentlichung von detaillierten Informationen zu unseren Erkenntnissen. Entsprechende Advisories werden daher erst nach Ablauf einer ausreichenden Übergangszeit publiziert.

Abschließend möchten wir uns noch einmal beim SAP Product Security Response Team (PSRT) für die Zusammenarbeit und den professionellen Umgang mit den von uns gemeldeten Schwachstellen im Jahr 2020 bedanken.

Researcher: Fabian Hagg, Alexander Meier, Raschin Tavakoli

SAP Security Note Title Status Vulnerability ID CVSSv3 Rating
2986980 SQL Injection vulnerability in SAP Business Warehouse (Database Interface) Fixed 01-2021 CVE-2021-21465 9.9
2999854 Code Injection in SAP Business Warehouse and SAP BW/4HANA Fixed 01-2021 CVE-2021-21466 9.9
2986980 Missing Authorization Check in SAP Business Warehouse (Database Interface) Fixed 01-2021 CVE-2021-21468 6.5
2993132 Missing Authorization Check in SAP NetWeaver AS ABAP and SAP S/4HANA (SAP Landscape Transformation) Fixed 12-2020 CVE-2020-26832 7.6
2983367 Code Injection vulnerability in SAP Business Warehouse (Master Data Management) and SAP BW/4HANA Fixed 12-2020 CVE-2020-26838 9.1
2973735 Code Injection in SAP AS ABAP and S/4 HANA (DMIS) Fixed 11-2020 CVE-2020-26808 9.1
2958563 Code Injection vulnerability in SAP NetWeaver (ABAP) and ABAP Platform Fixed 09-2020 CVE-2020-6318 9.1
2835979* Code Injection vulnerability in Service Data Download Fixed 05-2020 CVE-2020-6262 9.9