Der deutsche Softwarekonzern SAP hat in seinem jüngsten Sicherheitsupdate insgesamt 17 Schwachstellen geschlossen, darunter zwei kritische Sicherheitslücken. Besonders alarmierend ist eine Authentifizierungs-Bypass-Schwachstelle in SAP BusinessObjects, die es Angreifern ermöglicht, ohne Zugangsdaten vollständige Kontrolle über betroffene Systeme zu erlangen.
Kritische Authentifizierungs-Bypass-Lücke in BusinessObjects
Die schwerwiegendste Schwachstelle (CVE-2024-41730) betrifft die SAP BusinessObjects Business Intelligence Platform in den Versionen 430 und 440. Mit einem CVSS-Score von 9,8 von 10 möglichen Punkten wird die Gefahr als kritisch eingestuft. Die Sicherheitslücke ermöglicht es nicht-authentifizierten Angreifern, einen gültigen Zugriffstoken zu erlangen und somit die Systemsicherheit vollständig zu kompromittieren.
Laut SAP tritt das Problem auf, „wenn Single Sign-On für die Enterprise-Authentifizierung aktiviert ist“. In diesem Fall kann ein nicht autorisierter Benutzer über einen REST-Endpunkt einen Login-Token erhalten. Dies gefährdet die Vertraulichkeit, Integrität und Verfügbarkeit der im System gespeicherten Daten.
Kritische Schwachstelle in SAP Build Apps
Eine weitere kritische Sicherheitslücke (CVE-2024-29415) mit einem CVSS-Score von 9,1 wurde in SAP Build Apps Version 4.11.130 und älter entdeckt. Die Schwachstelle ermöglicht Server-seitige Request Forgery (SSRF) in Anwendungen, die mit SAP Build Apps erstellt wurden.
Das Problem liegt in einem Node.js-Paket zur IP-Adressvalidierung. Bei Verwendung der oktalen Notation wird die lokale IP-Adresse 127.0.0.1 fälschlicherweise als öffentliche, global routbare Adresse interpretiert. Diese Schwachstelle ist besonders brisant, da sie auf eine unvollständige Behebung des ähnlichen Problems CVE-2023-42282 aus dem Vorjahr zurückzuführen ist.
Weitere Sicherheitsupdates von SAP
Neben den beiden kritischen Schwachstellen hat SAP in seinem August-Patchday vier weitere Sicherheitslücken mit hohem Schweregrad (CVSS-Scores zwischen 7,4 und 8,2) geschlossen. Cybersicherheitsexperten empfehlen Unternehmen dringend, die bereitgestellten Patches zeitnah einzuspielen, um potenzielle Angriffe zu verhindern.
Die jüngsten Sicherheitsupdates von SAP unterstreichen die Bedeutung eines proaktiven Patch-Managements in Unternehmen. Angesichts der Schwere der entdeckten Schwachstellen, insbesondere des Authentifizierungs-Bypasses in BusinessObjects, sollten IT-Verantwortliche umgehend handeln. Eine regelmäßige Überprüfung und Aktualisierung von Unternehmenssoftware ist unerlässlich, um die Integrität und Sicherheit geschäftskritischer Systeme zu gewährleisten und potenzielle Datenschutzverletzungen zu verhindern.
