ICMAD: Kritische Sicherheitslücken in SAP-Geschäftsanwendungen erfordern sofortiges Handeln

Am 19. August 2022 hat die CISA die ICMAD-Sicherheitslücke CVE-2022-22536 in ihren Katalog aufgenommen.

Die Onapsis Research Labs zur Aufgabe Onapsis Research Labs , die weltweit wichtigsten Anwendungen im Zentrum der globalen Wirtschaft zu schützen. Wir untersuchen kontinuierlich eine Vielzahl von Schwachstellen, Exploits, Angreifern und Angriffsmethoden im Zusammenhang mit geschäftskritischen Anwendungen, wie beispielsweise denen von SAP und Oracle. Detaillierte Untersuchungen der Onapsis Research Labs im Laufe des Jahres 2021 zum Thema „HTTP Response Smuggling“ führten kürzlich zur Entdeckung einer Reihe äußerst kritischer Schwachstellen, die SAP-Anwendungen betreffen, die aktiv die Komponente „SAP Internet Communication Manager“ (ICM) nutzen. Wir haben diese Schwachstellen zusammenfassend als ICMAD (Internet Communication Manager Advanced Desync) bezeichnet. Diese Entdeckung erfordert die sofortige Aufmerksamkeit der meisten SAP-Kunden, da die anfällige Technologiekomponente in SAP-Landschaften weltweit weit verbreitet ist. 

Bericht herunterladen: Onapsis und SAP arbeiten zusammen, um kritische ICMAD-Sicherheitslücken zu identifizieren und zu beheben

 Der Hintergrund

Zunächst möchten wir Ihnen einen kurzen Überblick über den SAP Internet Communication Manager (ICM) geben. Der ICM ist eine der wichtigsten Komponenten eines SAP NetWeaver-Anwendungsservers. Diese Komponente ist in den meisten SAP-Produkten enthalten und bildet einen wesentlichen Bestandteil des gesamten SAP-Technologie-Stacks, da sie SAP-Anwendungen mit dem Internet verbindet. Eine seiner Kernaufgaben ist es, als SAP-HTTP(S)-Server zu fungieren, was wiederum bedeutet, dass dieser Dienst in SAP-NetWeaver-Java-Anwendungen standardmäßig immer vorhanden und verfügbar ist und als Voraussetzung für die Ausführung von Webanwendungen in SAP ABAP (d. h. Web Dynpro) dient.  Darüber hinaus ist der SAP ICM ein Baustein des SAP Web Dispatchers, was bedeutet, dass er typischerweise zwischen den meisten SAP-Anwendungsservern und deren Clients angesiedelt ist (wobei die „Clients“ potenziell „das Internet“ sein können).

Was wurde entdeckt? Nun, die Onapsis Research Labs drei schwerwiegende, über das Netzwerk ausnutzbare Sicherheitslücken, die zu einer vollständigen Übernahme des Systems führen könnten, wenn sie von einem Angreifer ausgenutzt würden. Die Ausnutzung dieser Schwachstellen könnte für einen Angreifer einfach sein, da sie keine vorherige Authentifizierung und keine notwendigen Voraussetzungen erfordert und die Payload über HTTP(S) gesendet werden kann. Die schwerwiegendste dieser Schwachstellen erhielt die höchste CVSSv3-Bewertung von 10,0 (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H). 

Bei dieser besonders kritischen Sicherheitslücke sind SAP NetWeaver-Anwendungen (Java/ABAP), die über HTTP(S) erreichbar sind, potenziell von diesem Problem betroffen, ebenso wie alle Anwendungen, die hinter dem SAP Web Dispatcher laufen. Zu den potenziell betroffenen Anwendungen zählen unter anderem SAP ERP, SAP Business Suite, SAP S/4HANA und SAP Enterprise Portal, um nur einige zu nennen.

ICMAD: Kritische Sicherheitslücken, die über das Netzwerk ausgenutzt werden können

Diese Reihe kritischer Sicherheitslücken, nämlich CVE-2022-22536, CVE-2022-22532 und CVE-2022-22533, wurde von den Onapsis Research Labs entdeckt und SAP gemeldet. CVE-2022-22536 erzielte mit einem CVSSv3-Wert von 10,0 die höchste Punktzahl. Die Schwachstelle kann ausgenutzt werden, um jede SAP-NetWeaver-basierte Java- oder ABAP-Anwendung mit Standardkonfigurationen zu kompromittieren. Besonders besorgniserregend ist, dass dies durch eine einzige Anfrage über den üblicherweise exponierten HTTP(S)-Dienst erreicht werden kann und keine Authentifizierung erforderlich ist.

Die Onapsis Research Labs nachweisen, dass Angreifer diese Schwachstellen im ICM nutzen konnten, um beliebige Anfragen von SAP-Benutzern (einschließlich ihrer Sitzungen) auszunutzen und zu kapern und anschließend die SAP-Anwendung zu übernehmen. Darüber hinaus konnten Angreifer mithilfe der neuen „HTTP Response Smuggling“-Techniken, die erstmals 2021 von Onapsis entdeckt und vorgestellt wurden, control von der SAP-Anwendung gesendeten control und den Angriff aufrechterhalten. Das bedeutet, dass ein Angreifer mit einer einzigen Anfrage in der Lage sein könnte, jede Sitzung und alle Anmeldedaten des Opfers im Klartext zu stehlen und das Verhalten der Anwendungen zu verändern.

CVE-2022-22536 kann ausgenutzt werden, wenn sich ein HTTP(S)-Proxy zwischen den Clients und dem SAP-Backend-System befindet – was das häufigste Szenario für den HTTP(S)-Zugriff in jeder Produktionsumgebung darstellt. Die Onapsis Research Labs , dass Angreifer auch CVE-2022-22532 ausnutzen können, das ohne Proxy einen CVSSv3-Score von 8,1 aufweist. Die Kombination beider Schwachstellen ermöglicht es, SAP NetWeaver Java-Systeme unabhängig vom Einsatz von Proxys zu kompromittieren. Aus diesem Grund sollten diese ungepatchten SAP-Systeme als anfällig betrachtet werden. 

Die möglichen Auswirkungen auf das Geschäft 

Was diese Sicherheitslücken für SAP-Kunden besonders kritisch macht, ist die Tatsache, dass die Probleme standardmäßig in der ICM-Komponente (und damit auch in SAP NetWeaver, S/4HANA und dem SAP Web Dispatcher) vorhanden sind. Darüber hinaus wird das Risiko durch eine Reihe weiterer Faktoren noch verstärkt:

1. Erkennung: Es ist schwierig, eine böswillige Anfrage von einer völlig normalen, harmlosen Anfrage zu unterscheiden; 
2. Auswirkungen: Die Ausnutzung von ICMAD könnte zu einer vollständigen Systemübernahme sowie zu weiteren Gefahren für die Vertraulichkeit, Integrität und Verfügbarkeit geschäftskritischer SAP-Anwendungen führen; 
3. Ausnutzung: Es ist keine vorherige Authentifizierung erforderlich, die Ausnutzung ist sehr einfach und es sind keine Voraussetzungen gegeben; und 
4. Angriffsfläche: Die Payloads können über HTTP(S) gesendet werden und betreffen eine Reihe von Kernkomponenten, die dazu dienen, SAP-Systeme mit der „Außenwelt“ zu verbinden.

Eine einfache HTTP-Anfrage, die sich nicht von anderen gültigen Nachrichten unterscheidet und keinerlei Authentifizierung erfordert, reicht für eine erfolgreiche Ausnutzung aus. 

Folglich ist es für Angreifer ein Leichtes, diese Schwachstelle auszunutzen, während es für Sicherheitstechnologien wie Firewalls oder IDS/IPS äußerst schwierig ist, sie zu erkennen (da sie keine schädliche Nutzlast enthält). 

Angesichts der Vielzahl der betroffenen SAP-Anwendungen lassen sich leicht verschiedene Auswirkungsszenarien entwerfen, die ein Unternehmen je nach den Absichten einer angreifenden Hackergruppe vor Herausforderungen stellen, stören oder gefährden könnten. Die konkreten Auswirkungen variieren natürlich je nach den betroffenen Systemen, doch eine erfolgreiche Ausnutzung der Schwachstellen könnte es einem Angreifer ermöglichen, verschiedene böswillige Aktionen durchzuführen, die das Unternehmen beeinträchtigen. Zum Beispiel

• Missbrauch von Benutzeridentitäten, Diebstahl aller Zugangsdaten und persönlichen Daten
• Entwendung sensibler oder vertraulicher Unternehmensdaten
• Betrügerische Transaktionen und finanzieller Schaden
• Änderung der Bankverbindung in einem Finanzsystem
• Interner Denial-of-Service-Angriff, der geschäftskritische Systeme lahmlegt

Es ist anzumerken, dass SAP-Anwendungen in vielen Organisationen bestimmten branchen- und behördlichen Vorschriften sowie finanziellen und sonstigen Compliance-Anforderungen unterliegen. Leider bedeutet dies, dass bereits das bloße Vorhandensein bekannter Schwachstellen in SAP-Anwendungen, die einen nicht authentifizierten, ungehinderten Zugriff ermöglichen könnten, einen Mangel bei den IT-Kontrollen in Bezug auf den Datenschutz (z. B. DSGVO), die Finanzberichterstattung (z. B. SOX) oder branchenspezifische Vorschriften (z. B. PCI-DSS) darstellen kann. Jede durchgesetzte Kontrolle, die durch die Ausnutzung dieser Schwachstellen umgangen wird, kann zu regulatorischen und Compliance-Mängeln in kritischen Bereichen führen. 

Vor diesem Hintergrund lohnt es sich, sich mit den internen Risiko-, Compliance- und Rechtsabteilungen Ihres Unternehmens in Verbindung zu setzen, um sich über spezifische regulatorische und sonstige Compliance-Anforderungen zu informieren, die für Ihr Unternehmen gelten könnten. 

Es geht hier erneut um die Möglichkeit, dass ein böswilliger Akteur potenziell die vollständige Kontrolle über ein System erlangen kann; daher sollte die Schwere dieser Bedrohung nicht unterschätzt werden, insbesondere wenn man sowohl die hochkomplexen Angriffe berücksichtigt, die von Onapsis Research Labs kontinuierlich in der Praxis beobachtet werden, Onapsis Research Labs den jüngsten Forschungsbericht von Sygnia über „Elephant Beetle“ – eine Gruppe von Angreifern, die sich durch hartnäckige, langwierige Angriffe auszeichnet und sich in der Infrastruktur von Unternehmen versteckt. 

Empfehlungen der Onapsis Research Labs

Onapsis und SAP, der weltweit führende Anbieter von Unternehmenssoftware, arbeiten regelmäßig bei Sicherheitsproblemen und Schwachstellen zusammen, um gemeinsam den Schutz der SAP-Kunden zu gewährleisten. Die Onapsis Research Labs eng mit dem SAP Product Security Response Team (PSRT) Onapsis Research Labs , um diese Probleme zu beheben, und stellten technische Details, Proof-of-Concept-Code sowie alle erforderlichen Daten zur Analyse durch das SAP-Sicherheitsteam bereit.

Onapsis möchte dem SAP PSRT ganz besonders für die Zusammenarbeit und die schnelle Reaktion danken. Dank dieser Zusammenarbeit und der unermüdlichen Arbeit des SAP PSRT konnte SAP heute (8. Februar 2022) im Rahmen seines regelmäßigen monatlichen Security Patch Day die HotNews-Sicherheitshinweise 3123396 und 3123427 veröffentlichen.

Onapsis Research Labs , die Auswirkungen der oben beschriebenen Probleme auf Ihre Infrastruktur zu analysieren (insbesondere unter Berücksichtigung der Frage, ob Sie über SAP-Systeme verfügen, die mit dem Internet oder mit nicht vertrauenswürdigen Netzwerken verbunden sind) und die Hinweise so bald wie möglich umzusetzen. Weitere Informationen zu verfügbaren Workarounds für diese Sicherheitslücken finden SAP-Kunden im Abschnitt „Referenzen und Workarounds“ der entsprechenden SAP-Sicherheitshinweise.

Für unsere Kunden Platform die Platform Funktionen zur Schwachstellenanalyse, Erkennungsregeln und Warnmeldungen, um böswillige Aktivitäten, die auf diese spezifischen Schwachstellen sowie auf Tausende weitere abzielen, kontinuierlich zu überwachen. Onapsis-Kunden, die Onapsis Assess Onapsis Defend nutzen, Defend bereits über Scan-, Überwachungs- und Warntools, mit denen sie ihre SAP-Landschaft ab dem Veröffentlichungsdatum dieses Blogbeitrags mit der ersten Version vom Februar 2022 (2.2022.021) schützen können. 

Angesichts der Schwere dieser Sicherheitslücken, insbesondere vor dem Hintergrund unserer zunehmend vernetzten Welt, möchte Onapsis sicherstellen, dass jeder SAP-Kunde die Möglichkeit hat, zu überprüfen, ob er davon betroffen ist, um Maßnahmen zum Schutz seiner geschäftskritischen SAP-Anwendungen ergreifen zu können. Im Rahmen unseres verantwortungsvollen Engagements für die globale SAP-Community Onapsis Research Labs die Onapsis Research Labs ein kostenloses Tool zum Scannen von Schwachstellen entwickelt, mit dem jeder SAP-Kunde seine gesamte SAP-Landschaft auf Anwendungen überprüfen kann, die von diesen Schwachstellen betroffen sind. 

Diese kostenlose Anwendung können Sie hier herunterladen.  

Abschließende Gedanken

Die oben genannten Sicherheitslücken stellen ein erhebliches Risiko für alle ungeschützten SAP-Anwendungen dar, für die noch keine entsprechenden SAP-Sicherheitshinweise installiert wurden. Ohne umgehende Maßnahmen zur Risikominderung ist es einem nicht authentifizierten Angreifer möglich, jedes nicht gepatchte SAP-System auf einfache Weise vollständig zu kompromittieren.

Diese Sicherheitshinweise weisen die höchsten CVSS-Werte auf und betreffen häufig eingesetzte Komponenten in mehreren weit verbreiteten Produkten von SAP. Dies ist zum Teil darauf zurückzuführen, dass die betroffenen Komponenten aufgrund ihrer Konzeption für den Zugriff über das Internet vorgesehen sind, wodurch sich das Risiko erheblich erhöht, dass ein Angreifer, der Zugriff auf den HTTP(S)-Port eines Java- oder ABAP-Systems hat, die Kontrolle über die Anwendungen und unter bestimmten Umständen sogar über das Host-Betriebssystem erlangen könnte. 

Threat intelligence SAP, CISA und Onapsis haben gezeigt, dass Angreifer über das nötige Wissen, die Technologie und die Raffinesse verfügen, um komplexe Angriffe direkt auf geschäftskritische Anwendungen wie SAP zu starten. In der Regel beginnen solche Angriffe innerhalb von 72 Stunden nach der Veröffentlichung eines SAP-Sicherheitshinweises. (Vor kurzem Onapsis Research Labs Log4j-Angriffe bereits innerhalb von 24 Stunden nach der öffentlichen Bekanntgabe, sodass das Zeitfenster für Abwehrmaßnahmen sehr klein ist.) 

Diese Sicherheitslücken bieten potenziell einen einfachen Zugang für böswillige Akteure. Daher gehen SAP und Onapsis davon aus, dass alle nicht gepatchten SAP-Anwendungen anfällig sind. Die Cybersecurity and Infrastructure Security Agency (CISA) des US-Heimatschutzministeriums hat eineaktuelle Aktivitätswarnungzu diesen Schwachstellen herausgegeben. CISA, SAP und Onapsis raten allen betroffenen Organisationen dringend, diese Sicherheitshinweise so schnell wie möglich umzusetzen, wobei den betroffenen Systemen, die mit nicht vertrauenswürdigen Netzwerken wie dem Internet verbunden sind, Vorrang eingeräumt werden sollte.

ICMAD-Ressourcen

• Wenn Sie sich eingehender mit den ICMAD-Sicherheitslücken befassen möchten, laden Sie unseren Bedrohungsbericht herunter.
• Jetzt ansehen: Executive Briefing von SAP und Onapsis zu kritischen ICMAD-Sicherheitslücken
• Onapsis Research Labs ein kostenloses Tool zum Scannen nach Sicherheitslücken Onapsis Research Labs , mit dem SAP-Kunden ihre gesamte SAP-Landschaft auf Anwendungen überprüfen können, die von den ICMAD-Sicherheitslücken betroffen sind.
• Wenn Sie kein Onapsis-Kunde sind oder weitere Informationen oder Unterstützung benötigen, um auf diese Situation zu reagieren, fordern Sie hier ein Sicherheitsbriefing an.