Wie funktioniert HTTP-Response-Smuggling?

Am 19. August 2022 hat die CISA die ICMAD-Sicherheitslücke CVE-2022-22536 in ihren Katalog aufgenommen.

Untersuchungen der Onapsis Research Labs im vergangenen Jahr zum Thema „HTTP Response Smuggling“ führten zur Entdeckung einer Reihe kritischer Sicherheitslücken, die SAP-Anwendungen betreffen, die den SAP Internet Communication Manager (ICM) aktiv nutzen; diese werden als ICMAD (Internet Communication Manager Advanced Desync) bezeichnet. Die Onapsis Research Labs drei kritische Schwachstellen in einem Speicherverwaltungsmechanismus, die zu einer vollständigen Kompromittierung des Systems führen können, wenn sie von einem Angreifer ausgenutzt werden. Die Ausnutzung der kritischsten Schwachstelle (CVSSv3 10.0) ist einfach, erfordert keine vorherige Authentifizierung, es sind keine Voraussetzungen erforderlich, und die Payload kann über HTTP(S) gesendet werden. Nicht gepatchte SAP-NetWeaver-Anwendungen (JAVA/ABAP), die über HTTP(S) erreichbar sind, sind dafür anfällig, ebenso wie alle Anwendungen, die hinter dem SAP Web Dispatcher laufen, wie beispielsweise S/4HANA. Onapsis und SAP empfehlen SAP-Kunden, die Patches so schnell wie möglich zu installieren.

Mithilfe der neuen HTTP-Response-Smuggling-Techniken, die Onapsis im Jahr 2021 vorgestellt hat, könnten Angreifer control von der SAP-Anwendung gesendeten control und den Angriff aufrechterhalten. Das bedeutet, dass ein Angreifer mit einer einzigen Anfrage in der Lage wäre, alle Sitzungen und Anmeldedaten der Opfer im Klartext zu stehlen und das Verhalten der Anwendungen zu verändern. Die geschäftlichen Auswirkungen reichen hier potenziell vom einfachen Entführen von Benutzeridentitäten oder dem Diebstahl vertraulicher Benutzerinformationen bis hin zur vollständigen Übernahme einer kritischen SAP-Anwendung, was zu Sicherheitsvorfällen führen kann, die den Geschäftsbetrieb stören oder ein Unternehmen potenziell einem größeren Risiko aussetzen könnten. 

Bericht herunterladen: Onapsis und SAP arbeiten zusammen, um kritische ICMAD-Sicherheitslücken zu identifizieren und zu beheben

Um diese Schwachstelle auszunutzen, kann ein Angreifer Techniken des „HTTP Response Smuggling“ einsetzen, die es einem Client ermöglichen, eine Anfrage zu senden, die vom Proxy als eine einzige Anfrage weitergeleitet, im ICM jedoch in zwei Teile aufgeteilt wird. Aus diesem Grund ist es möglich, die Kommunikation zwischen dem Proxy und dem ICM zu desynchronisieren und so mittels HTTP-Smuggling die Sitzungen des Opfers zu kapern.

Durch das Einschleusen einer schädlichen Nutzlast in die ICM-Warteschlange ist es möglich, control Präfix der Anfragen des Opfers zu control (sog. „HTTP Request Smuggling“). Dies kann von einem Angreifer ausgenutzt werden, um Benutzersitzungen und Anmeldedaten zu kapern und die SAP-Anwendung vollständig zu übernehmen.

Darüber hinaus ist es Angreifern durch den Einsatz von HTTP-Response-Smuggling-Techniken und aufgrund der Eigenschaften der oben genannten Sicherheitslücke möglich, den Web-Cache des Proxys und die ICM-Antwortwarteschlange zu manipulieren. Dies kann bereits mit einer einzigen Anfrage erfolgreich bewerkstelligt werden. In diesem Fall könnte der Angriff andauern, und alle SAP-Benutzer wären gefährdet. Mit einer einzigen, nicht zu identifizierenden HTTP-Anfrage kann ein böswilliger Benutzer die Anmeldedaten und die Client-Sitzung beliebiger Opferbenutzer erlangen.

Um den Web-Cache eines Proxys zu manipulieren, würde ein Angreifer zwei hintereinander geschaltete (verkettete) Anfragen senden – die erste enthält die schädliche Nutzlast, die im Cache gespeichert wird, und die zweite die URL, die manipuliert werden soll. 

Dies führt dazu, dass der ICM zwei Antworten aus der bösartigen Nutzlast zurückgibt – die erste mit einem 2xx/3xx-Statuscode und die zweite mit einem bösartigen JavaScript, das als Antwort der angegriffenen URL gespeichert wird.

Wenn ein Opfer schließlich die vom Angreifer willkürlich ausgewählte URL beim System anfordert, gibt der Proxy die bösartige Antwort zurück. Ein Angreifer könnte jede SAP-Webseite durch bösartiges JavaScript ersetzen.

Die Onapsis Research Labs nachweisen, dass Angreifer diese Schwachstelle zuverlässig ausnutzen können. Dies belegt, dass ein nicht authentifizierter Benutzer das System kompromittieren kann, sofern sich ein Proxy zwischen dem ICM und den Clients befindet.

Wenn Sie mehr über die ICMAD-Sicherheitslücken und die dahinterstehenden Forschungsergebnisse erfahren möchten, werfen Sie einen Blick in unseren Bedrohungsbericht.

Ressourcen zu ICMAD-SAP-Sicherheitslücken

• Wenn Sie sich eingehender mit den ICMAD-Sicherheitslücken befassen möchten, laden Sie unseren Bedrohungsbericht herunter.
• Jetzt ansehen: Executive Briefing von Onapsis und SAP zur Behebung der ICMAD-Sicherheitslücken in SAP
• Onapsis Research Labs ein kostenloses Tool zum Scannen nach Sicherheitslücken Onapsis Research Labs , mit dem SAP-Kunden ihre gesamte SAP-Landschaft auf Anwendungen überprüfen können, die von den ICMAD-Sicherheitslücken betroffen sind.
• Wenn Sie kein Onapsis-Kunde sind oder weitere Informationen oder Unterstützung benötigen, um auf diese Situation zu reagieren, fordern Sie hier ein Sicherheitsbriefing an.