Onapsis veröffentlicht 15 Sicherheitshinweise für SAP HANA und Building Components

Von:

21. Juli 2016

Heute Onapsis Research Labs 15 Sicherheitshinweise zu SAP HANA und einigen zugehörigen Komponenten sowie zu internen Kommunikationskanälen (auch bekannt als TREXNet) Onapsis Research Labs . Dies ist die erste Veröffentlichung von mehr als 40 Sicherheitshinweisen, die wir im Laufe des nächsten Monats veröffentlichen werden, darunter mehrere Schwachstellen, die wir in geschäftskritischen Anwendungen wie SAP und Oracle entdeckt haben. In diesem Blogbeitrag analysieren wir zwei verschiedene Schwachstellen, die SAP HANA betreffen. Diese Schwachstellen haben eines gemeinsam: Sie betreffen die Art und Weise, wie SAP HANA Anfragen zur Benutzerauthentifizierung verarbeitet.

Ein nicht authentifizierter Angreifer könnte die erste Sicherheitslücke„SAP HANA Information Disclose Relating User Existence“(CVE-2016-6145) ausnutzen, um Kenntnis von den verschiedenen angelegten Datenbankbenutzern zu erlangen. Die zweite Schwachstelle,„SAP HANA SYSTEM user brute force attack“(CVE-2016-6144), könnte es einem Angreifer ermöglichen, Zugriff auf den Platform Benutzer Platform zu erlangen: SYSTEM.

Übersicht: Offenlegung von Informationen durch eine Fehlermeldung

Es wird häufig unterschätzt, inwiefern eine Fehlermeldung einem Angreifer helfen könnte. Eine der von uns veröffentlichten Sicherheitswarnungen basiert auf dieser Art von Schwachstelle, bei der zu viele Informationen einem Angreifer … zu viele Informationen liefern. Mit anderen Worten: Die Anzeige bestimmter Daten in einer Antwort kann einem Angreifer helfen, Dinge zu erfahren, die er nicht wissen sollte, und in einigen Fällen (wie dem, den wir heute vorstellen) ermöglicht sie es einem Angreifer, Schlussfolgerungen zu ziehen, die er nicht ziehen sollte. Diese Art von Fehler wird unter CVE-209 als „Information Exposure Through an Error Message“ (Offenlegung von Informationen durch eine Fehlermeldung) identifiziert:

„Die Software gibt eine Fehlermeldung aus, die sensible Informationen über ihre Umgebung, ihre Benutzer oder zugehörige Daten enthält.“

Im schlimmsten Fall könnten die Fehlermeldungen Informationen wie IP-Adressen, Benutzernamen oder Passwörter enthalten. In manchen Fällen können diese Informationen als Ausgangspunkt für weitere Angriffe dienen.

Technische Details

Der Hauptaspekt der Sicherheitslücke „SAP HANA Information Disclosure Relating User Existence“ betrifft Informationen, die einem Benutzer bei der Anmeldung an der SAP-HANA-Datenbank über die SQL-Schnittstelle (TCP-Port 3XX15, wobei XX für die Instanznummer steht) angezeigt werden. Ist der Benutzer, der sich anmeldet, gesperrt, werden diese Informationen in der Fehlermeldung angezeigt, unabhängig davon, ob das für die Anmeldung verwendete Passwort gültig war oder nicht.

Die folgende Meldung ist ein Beispiel dafür, was angezeigt wird, wenn der Benutzer nicht existiert oder das Passwort falsch ist:

hana_blog_1.jpg

Anders verhält es sich hingegen, wenn der Benutzer bereits existiert und gesperrt ist:

hana-Blog 2

Durch den Empfang verschiedener Nachrichten könnte ein Angreifer leicht ein Skript erstellen, um gültige Benutzer zu ermitteln. Wir haben den PyHDB-Client verwendet, um ein Python-POC-Skript zu schreiben, das eine Schwachstelle in einem nicht gepatchten System ausnutzt. Wie in der folgenden Abbildung zu sehen ist, ermittelt der Proof-of-Concept zwei gültige Benutzer: USER1 und USER2.

hana-Blog 3

Um dieses Problem zu beheben, hat SAP den SAP-Sicherheitshinweis 2216869 veröffentlicht. Ab SAP HANA Revision 102 wurde unter der Konfiguration der Passwortrichtlinie (Abschnitt [password_policy] in der Datei indexserver.ini) ein neuer Parameter namens „detailed_error_on_connect“hinzugefügt. Dieser Parameter legt fest, welche Informationen in Anmeldefehlermeldungen angezeigt werden. Ist er auf „False“ gesetzt, lautet die angezeigte Meldung „Authentifizierung fehlgeschlagen“, unabhängig vom Grund des fehlgeschlagenen Versuchs (Benutzer existiert nicht, falsches Passwort, gesperrter Benutzer usw.). In der SAP-HANA-Revision 97.03 war der Parameter ebenfalls enthalten, ist jedoch aus Kompatibilitätsgründen auf „True“ gesetzt. Dies kann über das SAP-HANA-Database-Studio geändert werden.

Eine weitere Möglichkeit, wie ein Angreifer diese Schwachstelle ausnutzen könnte, besteht darin, zu wissen, wie viele Versuche erforderlich sind, um einen Benutzer zu sperren. Dies könnte es dem Angreifer ermöglichen, Brute-Force-Angriffe durchzuführen, ohne dass der betroffene Benutzer gesperrt wird.

Wie bereits erwähnt, kann ein Angreifer die in der Sicherheitsempfehlung beschriebene Schwachstelle ausnutzen Brute-Force-Angriff auf den HANA-SYSTEM-Benutzer ausnutzen , um Zugriff auf die SYSTEM-Benutzer zu erlangen und so die gesamte Platform zu kompromittieren: Das Problem liegt in der Art und Weise, wie Platform Anmeldeversuche für den SYSTEM-Benutzer Platform .

Bevor Onapsis diese Sicherheitslücke meldete, galt die festgelegte Obergrenze für die maximale Anzahl von Anmeldeversuchen vor der Sperrung des Benutzers nicht für den SYSTEM-Benutzer. Das bedeutet, dass ein Angreifer eine unbegrenzte Anzahl von Anmeldeversuchen unternehmen konnte, da er wusste, dass der SYSTEM-Benutzer nicht gesperrt wird. Wir haben auch für diese Sicherheitslücke ein POC-Skript entwickelt, wie auf dem folgenden Bild zu sehen ist:

hana-Blog 4

Der zuvor erwähnte SAP-Sicherheitshinweis (2216869) behebt dieses Problem ebenfalls. Es wurde ein neuer Profilparameter „password_lock_for_system_user“ implementiert, der die Sperrung des SYSTEM-Benutzers ermöglicht, sobald eine bestimmte Schwelle an ungültigen Anmeldeversuchen erreicht wurde. In SAP HANA Revision 102 ist dieser Parameter standardmäßig aktiviert, während er in SAP HANA Revision 97.03 aus Kompatibilitätsgründen standardmäßig deaktiviert ist.

Schlussfolgerungen

Beachten Sie bitte unbedingt: Halten Sie Ihre Platform stets auf dem neuesten Stand, Platform die aktuellen Sicherheitspatches Platform , und konfigurieren Sie die platform ordnungsgemäß platform dem SAP-HANA-Sicherheitsleitfaden. In einem späteren Blogbeitrag werden wir untersuchen, wie Angreifer weitere SAP-HANA-Sicherheitslücken ausnutzen können und was wir tun können, um unsere platform diesen Angriffen zu schützen.

Derzeit arbeiten wir an der Vorbereitung unserer Publikation „SAP Security In Depth“ zum Thema SAP HANA (Band II). Die vorherige Ausgabe, „SAP HANA System Security Review – Teil 1“, steht hier zum Download bereit: https://onapsis.com/research/publications/volume-xii-sap-hana-system-security-review-part-1.

Stichworte, , ,
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen