Aktive Ausnutzung der SAP-Sicherheitslücke CVE-2017-12637

Zusammenfassung

• Die CISA warnte Organisationen am 19. März 2025 vor der aktiven Ausnutzung der Sicherheitslücke CVE-2017-12637.
• Onapsis Research Labs (ORL) hat über sein globales SAP Threat Intelligence eine aktive Ausnutzung dieser Sicherheitslücke festgestellt und sowohl SAP als auch die CISA über die beobachteten böswilligen Aktivitäten informiert.
• Diese bekannte Sicherheitslücke wurde ursprünglich bereits 2017 von SAP behoben. Wie SAP jedoch 2024 warnte, konnten Installationen in einigen Fällen trotz des installierten Patches weiterhin gefährdet sein.
• Diese Sicherheitslücke betrifft den SAP NetWeaver AS Java Application Server, der für den Einsatz im Internet konzipiert ist.
• Der CVSSv3-Wert dieser Sicherheitslücke beträgt 7,7. Ein nicht authentifizierter Angreifer kann sie jedoch dazu nutzen, ein anfälliges SAP-System vollständig zu kompromittieren, weshalb es absolut unerlässlich ist, diese Schwachstelle zu beheben.

Von einem CVSS-Wert von 7,7 bis zur vollständigen Kompromittierung der SAP-Anwendung

Die Onapsis Research Labs hat festgestellt, dass diese Sicherheitslücke in der Praxis aktiv ausgenutzt wird. Darüber hinaus haben Angreifer umfassende Kenntnisse über die betroffenen SAP-Systeme unter Beweis gestellt und die Sicherheitslücke genutzt, um kritische SAP-Konfigurationsdateien aus dem Betriebssystem zu entwenden.

Die Art dieser speziellen Verzeichnis-Traversal-Sicherheitslücke ermöglicht es einem Angreifer, Systemdateien einschließlich Anmeldedaten oder den SAP Secure Store zu extrahieren, was unmittelbar zu einer vollständigen Kompromittierung des Systems führen kann.

CVE-2017-12637 verstehen

SAP-Systeme sind umfangreich und komplex; zahlreiche Komponenten interagieren untereinander und mit externen Systemen, um die Vielzahl an Diensten und Funktionen bereitzustellen, die diese als geschäftskritische Anwendung abdeckt. Folglich stehen Administratoren vor einer anspruchsvollen Aufgabe, da sie sicherstellen müssen, dass Sicherheitsmaßnahmen wirksam umgesetzt werden. Diese Komplexität ergibt sich unter anderem aus potenziellen Fehlkonfigurationen, Patches, die manuelle Anpassungen wie die Deaktivierung von Komponenten oder Upgrades erfordern, der Verwaltung von Benutzerrollen sowie control , um control einige der Sicherheitsaspekte zu nennen.

Ein gutes Beispiel hierfür ist der SAP-Sicherheitshinweis 2486657, der die Sicherheitslücke CVE-2017-12637 behebt – eine Path-Traversal-Schwachstelle, die es einem Angreifer ermöglicht, beliebige Dateien abzurufen, auf die der SAP-Systembenutzer Zugriff hat. Diese Sicherheitslücke betrifft SAP CPS 8.0, und im Sicherheitshinweis wird empfohlen, die folgenden Patches zu installieren:

• ENGINEAPI 7.50 SP02
• ENGINEAPI 7.50 SP03
• ENGINEAPI 7.50 SP04
• ENGINEAPI 7.50 SP05

Anschließend wurde diese Komponente umbenannt – von SAP CPS V8 zu SAP BPA V9, wie im SAP-Hinweis 2278834 (aus dem Jahr 2021) beschrieben –, sodass ein Administrator diese Komponente vollständig durch die neue ersetzen muss.

Doch damit ist die Geschichte noch nicht zu Ende. Im Jahr 2024 veröffentlichte SAP den SAP-Hinweis 3476549, der eine „Directory Traversal“-Sicherheitslücke im SAP NetWeaver AS Java-System für eine bestimmte URL aufzeigt, selbst wenn die Systemversion höher ist als der Patch-Level im SAP-Hinweis 2486657. Der Hinweis rät SAP-Systemadministratoren, zu überprüfen, ob die anfällige Komponente noch aktiv ist. Ist dies der Fall, bietet er Optionen und Links zu früheren Hinweisen zum Upgrade oder zur Deaktivierung der Komponente. Das bloße Anwenden eines Patches reicht möglicherweise nicht aus, da die anfällige Komponente aktiv bleiben und weiterhin Anfragen empfangen könnte.

Dies verdeutlicht, wie komplex und dynamisch die Umsetzung einer Korrektur oder einer Abhilfemaßnahme für ein SAP-System sein kann und welchen Aufwand dies aus Sicherheitssicht erfordert.

Mit einem CVSS-Wert von 7,7 kann ein Angreifer diese Schwachstelle ausnutzen, um den anfänglichen Zugriff mühelos zu erweitern und so an kritische Dateien zu gelangen, die potenziell wertvolle Informationen über das System liefern könnten, oder sogar an Benutzeranmeldedaten mit weitreichenden Berechtigungen, die in den Systemdateien gespeichert sind.
Letzte Woche hat die CISA den „Catalog of Known Exploited Vulnerabilities“ (KEV) aktualisiert und dabei auf die aktive Ausnutzung dieser CVE hingewiesen:

Aktualisierung des Verzeichnisses bekannter ausgenutzter Sicherheitslücken durch die CISA zu CVE-2017-12637

Analyse des Angriffs (der Angriffe)

Die Ausnutzung von CVE-2017-12637 erfolgt über HTTP(s), und der Test ist unkompliziert: Ein Angreifer kann eine GET-Anfrage an die betroffene URL mit einem typischen Path-Traversal-Exploit ausführen.

Da SAP NetWeaver Java die platform Anwendungen wie das SAP-Portal ist, ist es für den Einsatz im Internet konzipiert und vorgesehen. Daher ist die Wahrscheinlichkeit und Häufigkeit der Ausnutzung dieser Sicherheitslücke extrem hoch.

Angreifer, die es auf eine bestimmte SAP-Anwendung abgesehen haben, können beliebige Dateien aus dem System abrufen, und einige von den Onapsis Research Labs beobachtete Angreifer Onapsis Research Labs umfassende Kenntnisse über SAP-Systeme unter Beweis gestellt. 

Angreifer suchen mehrere URLs von SAP-Systemen nach bekannten Sicherheitslücken ab. Sobald sie ein System identifizieren, das für CVE-2017-12637 anfällig ist, beginnen die Angreifer sofort damit, SAP-systemspezifische Dateien abzugreifen.

Erfolgreiche Ausnutzung durch den Angreifer

Es ist wichtig zu erwähnen, dass diese Sicherheitslücke nicht nur das Abgreifen von Textdateien, sondern auch von Binärdateien ermöglicht, darunter kritische Dateien wie den SAP Secure Store, um SAP-Benutzerdaten mit hohen Berechtigungen zu erlangen.

Nach dem Herunterladen des SAP Secure Store können Angreifer, die CVE-2017-12637 ausnutzen, öffentlich verfügbare Tools verwenden, um den Inhalt des Passwortspeichers zu entschlüsseln und hochprivilegierte SAP-Anmeldedaten zu erlangen, die ihnen vollen Zugriff auf die ungeschützte SAP-Anwendung gewähren würden.

Entschlüsselung der SAP Secure Store-Datei mit öffentlich zugänglichen Tools

Nach erfolgreicher Entschlüsselung kann sich der Angreifer je nach erreichter Verbindungsebene über einen Webbrowser bei der SAP-Anwendung oder bei der SAP-Datenbank anmelden:

Melden Sie sich mit den entschlüsselten Anmeldedaten bei der SAP-Anwendung an.

Dies verdeutlicht, wie wichtig es ist, über kontinuierliche Überwachungs- und angemessene Schutzmaßnahmen zu verfügen, um veraltete Komponenten oder Fehlkonfigurationen zu erkennen, einschließlich solcher, die mit alten SAP-Sicherheitslücken zusammenhängen.

Nächste Schritte und zu ergreifende Maßnahmen

Sehen Sie sich hier unser On-Demand-Webinar an.

Für Unternehmen ist es wichtig, die entsprechenden SAP-Hinweise 2486657, 2278834 und 3476549 zu lesen, da Angreifer bei erfolgreicher Ausnutzung beliebige Dateien aus dem betroffenen System extrahieren können, darunter auch solche, die dazu genutzt werden könnten, das System vollständig zu kompromittieren. Aufgrund der Komplexität von SAP-Systemen und des Zusammenspiels ihrer zahlreichen Komponenten sind eine kontinuierliche Überwachung sowie gründliche Überprüfungen der Systemkonfigurationen und Patches erforderlich, um einen umfassenden Schutz zu gewährleisten.

Weitere Informationen zu Patches und kritischen SAP-Sicherheitsupdates finden Sie in unseren SAP-Patch-Day-Archiven, damit Sie über die neuesten Korrekturen und Empfehlungen auf dem Laufenden bleiben.

Anhang: Zuordnung zum MITRE ATT&CK-Modell

Die Zuordnung der aktiven Ausnutzung von CVE-2017-12637 zum MITRE ATT&CK-Framework kann Sicherheitsverantwortlichen dabei helfen, dieses Verhalten zu modellieren und Unternehmen vor aktuellen Bedrohungen zu schützen: