Sie verwenden keine aktuelle Browser-Version. Deshalb wird die Webseite möglicherweise nicht korrekt dargestellt. Hier finden Sie weitere Hinweise.

Die Sicherheitslücken des Monats September 2021

Inhaltsverzeichnis

Anbei erhalten Sie einen Überblick über die Sicherheitslücken des Monats September 2021 (Base Score größer 8.0):

SAP

CVE-2021-37535 – Missing Authorization check in SAP NetWeaver Application Server for Java (JMS Connector Service)

Base Score: 10.0

Betroffene Komponente: SAP NetWeaver Application Server for Java (JMS Connector Service)

Diese Lücke ist besagt, dass die Komponente NetWeaver Application Server for Java / JMS Connector Service keine ausreichenden Prüfungen bei der Authentifizierung vornimmt. Somit es möglich auch ohne Authentifizierung oder mit fehlerhafter Authentifizierung ggf. Zugriff zu erhalten.

Diese Lücke ist sehr kritisch und wir empfehlen dringend, sie sofort durch aktuelle Updates zu schließen!

CVE-2021-33698 – Unrestricted File Upload vulnerability in SAP Business One

Base Score: 9.9

Betroffene Komponente: SAP Business One

Eine fehlende Prüfung bei der Authentifizierung ermöglicht bei diese Lücke ggf. Zugriffe.

Wir empfehlen an dieser Stelle dringend zu handeln und Updates einzuspielen.

CVE-2021-38176 – SQL Injection vulnerability in SAP NZDT Mapping

Base Score: 9.9

Betroffene Komponente: SAP NZDT Mapping Table Framework

Dieser CVE ermöglicht Zugriffe über eine Lücke im SAP NZDT Mapping Table Framework.

Unsere Empfehlung an der Stelle ist, diese Lücke möglichst bald durch Updates zu beheben, sofern Sie diese Komponente einsetzen.

CVE-2021-38163 – Unrestricted File Upload vulnerability in SAP NetWeaver (Visual Composer 7.0 RT)

Base Score: 9.9

Betroffene Komponente: SAP NetWeaver (Visual Composer 7.0 RT)

Diese Lücke ermöglicht Lese-, Änderungs- und Schreibrechte.

Wir empfehlen diese Lücke bei Einsatz der Software im Zuge der Updates zu schließen.

CVE-2021-37531 – Code Injection vulnerability in SAP NetWeaver

Base Score: 9.9

Betroffene Komponente: SAP NetWeaver Knowledge Management

Eine klassische Code Injection Lücke im SAP NetWeaver Knowledge Management ermöglicht Zugriffe für potenzielle Angreifer.

Bitte schließen Sie diese Lücke zeitnah mit den aktuellen Updates.

CVE-2021-33672 – Multiple vulnerabilities in SAP Contact Center

Base Score: 9.6

Betroffene Komponente: SAP Contact Center

Aufgrund einer unsachgemäßen Eingabesäuberung kann ein authentifizierter Benutzer mit bestimmten Privilegien die im Lösungsabschnitt aufgeführten NZDT-Funktionsmodule aus der Ferne aufrufen, um eine manipulierte Abfrage auszuführen und so Zugriff auf die Backend-Datenbank zu erhalten. Bei erfolgreicher Ausnutzung kann der Bedrohungsakteur die Vertraulichkeit, Integrität und Verfügbarkeit des Systems vollständig gefährden. Die Korrektur sollte über SNOTE auf die betroffenen Systeme angewendet werden.

Deshalb empfehlen wir diese Lücke via Update dringend zu schließen.

CVE-2021-38162 – HTTP Request Smuggling in SAP Web Dispatcher

Base Score: 8.9

Betroffene Komponente: SAP Web Dispatcher

SAP NetWeaver Visual Composer ermöglicht es einem Angreifer, der als nicht-administrativer Benutzer authentifiziert ist, eine bösartige Datei über ein Netzwerk hochzuladen und ihre Verarbeitung auszulösen, die Betriebssystembefehle mit den Rechten des Java-Server-Prozesses ausführen kann. Diese Befehle können dazu verwendet werden, Informationen auf dem Server zu lesen oder zu ändern oder den Server herunterzufahren, so dass er nicht mehr verfügbar ist. Betroffene Systeme müssen gepatcht werden.

Wir empfehlen diese Lücke bei Einsatz des Produktes sehr zeitnah zu schließen.

Microsoft

CVE-2021-26435 – Windows Scripting Engine Memory Corruption Vulnerability

Base Score: 8.1

Betroffene Komponenten: Windows Scripting Engine

Diese Lücke ermöglicht Angreifern in den Windows Client Version 7 – 10, so wie den Windows Server Versionen 2008 – 2022 einzudringen. Hierfür wird eine vorbereitete Datei via Mail oder präparierter Webseite bereitgestellt. Sobald der Benutzer diese Datei ausführt, kann die Lücke aktiv durch den Angreifer ausgenutzt werden.

Wir empfehlen Ihnen diese Lücke via Windows Updates im nächsten Updatezyklus zu schließen.

CVE-2021-38647 – Open Management Infrastructure Remote Code Execution Vulnerability

Base Score: 9.8

Betroffene Komponenten: Azure Open Management Infrastructure

Einige Azure-Produkte, wie z. B. Configuration Management, stellen einen HTTP/S-Port zur Verfügung, der auf OMI hört (normalerweise Port 5986). Diese Konfiguration, bei der der HTTP/S-Listener aktiviert ist, könnte Remotecodeausführung ermöglichen. Es ist wichtig zu erwähnen, dass die meisten Azure-Dienste, die OMI verwenden, es ohne den HTTP/S-Port bereitstellen.

Ein Angreifer könnte eine speziell gestaltete Nachricht über HTTPS an den Port senden, der auf einem anfälligen System auf OMI hört.

Wir empfehlen Ihnen diese Lücke dringend zeitnah zu schließen!

CVE-2021-36954 – Windows Bind Filter Driver Elevation of Privilege Vulnerability

Base Score: 8.8

Betroffene Komponenten: Windows Bind Filter Driver

Diese Lücke ermöglicht Angreifern einen relativ einfachen, lokalen Angriff zu fahren. Dabei sind Benutzerrechte ausreichend und es ist dabei keine Benutzerinteraktion erforderlich um die Lücke zu nutzen. Betroffen sind die Windows Client Versionen 10, so wie die Windows Server Versionen 2019 – 2022.

Wir empfehlen Ihnen diese Lücke via Windows Updates zeitnah zu schließen.

CVE-2021-36965 – Windows WLAN AutoConfig Service Remote Code Execution Vulnerability

Base Score: 8.8

Betroffene Komponenten: Windows WLAN AutoConfig Service

Diese Lücke ermöglicht Angreifern einen relativ einfachen Angriff über den WLAN Network Stack zu fahren. In diesem Fall sind keine Benutzerrechte erforderlich und der Benutzer muss auch selbst nicht aktiv werden, um die Lücke auszunutzen. Betroffen sind die Windows Client Versionen 7 – 10, so wie die Windows Server Versionen 2008 – 2022.

Diese Lücke sollte insbesondere im Clientbereich zeitnah geschlossen werden.

CVE-2021-36967 – Windows WLAN AutoConfig Service Elevation of Privilege Vulnerability

Base Score: 8.0

Betroffene Komponenten: Windows WLAN AutoConfig Service

Dieser Angriff ist limitiert auf die Protokollebene, bzw. den Netzwerk Stack. Die Komplexität des Angriffs ist niedrig und es werden keine Rechte dafür benötigt. Allerdings müsste zur Ausnutzung der Lücke ein Benutzer interagieren. Betroffen sind die Windows Client Versionen 10, so wie die Windows Server Versionen 2016 – 2019.

Diese Lücke sollte insbesondere im Clientbereich im Zuge des nächsten internen Patchdays geschlossen werden.

CVE-2021-40444 – Microsoft MSHTML Remote Code Execution Vulnerability

Base Score: 8.8

Betroffene Komponenten: MSHTML

Diese Lücke wird derzeit aktiv ausgenutzt!

Ein Angreifer könnte ein bösartiges ActiveX-Steuerelement so gestalten, dass es von einem Microsoft Office-Dokument verwendet wird, das die Browser-Rendering-Engine enthält. Der Angreifer müsste dann den Benutzer dazu bringen, das bösartige Dokument zu öffnen. Benutzer, deren Konten so konfiguriert sind, dass sie weniger Benutzerrechte auf dem System haben, könnten weniger betroffen sein als Benutzer, die mit administrativen Benutzerrechten arbeiten.

Microsoft Defender Antivirus und Microsoft Defender for Endpoint bieten beide Erkennung und Schutz für die bekannte Sicherheitslücke. Kunden sollten ihre Antimalware-Produkte auf dem neuesten Stand halten. Kunden, die automatische Updates verwenden, müssen keine zusätzlichen Maßnahmen ergreifen. Unternehmenskunden, die Updates verwalten, sollten das Erkennungs-Build 1.349.22.0 oder neuer auswählen und es in ihren Umgebungen einsetzen. Microsoft Defender for Endpoint-Warnungen werden wie folgt angezeigt: „Verdächtige Cpl-Datei-Ausführung“.

Betroffen sind die Windows Client Versionen 7 – 10, so wie die Windows Server Versionen 2008 – 2022.

Diese Lücke sollten Sie dringend zeitnah durch aktuelle Windows Updates schließen!

Wenn Sie Fragen haben oder nicht wissen wie Sie mit den oben genannten Lücken umgehen sollen, zögern Sie nicht uns zu kontaktieren.

Wir helfen Ihnen dabei sicherer zu werden!

Nehmen Sie Kontakt zu uns auf!

    Mit der Erhebung, Verarbeitung und Nutzung meiner personenbezogenen Daten zur Bearbeitung meiner Anfrage erkläre ich mich einverstanden. Ich kann mein Einverständnis jederzeit ohne Angabe von Gründen widerrufen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

    Rufen Sie uns an
    +49 6173 3363 000

    Nagarro ES Newsletter
    Newsletter jetzt abonnieren!

    Besuchen Sie uns
    Alle Standorte ansehen

    E-Book: Was ist SAP S/4HANA?
    Alles über das aktuelle ERP von SAP

    Vor dem ERP-Umstieg stellen sich viele Fragen, etwa nach Deployment-Optionen, Funktionen, Migrationsszenarien oder Vorteilen. Die Antworten gibt unser E-Book.

    • Welche Funktionen bringt SAP S/4HANA mit?
    • Welche Vorteile bietet SAP S/4HANA?
    • Wie ist SAP S/4HANA aufgebaut?
    • Was kostet SAP S/4HANA?
    • Wie erfolgt der Umstieg meines ERPs auf SAP S/4HANA?