P4CHAINS-Sicherheitslücken
Wenn das Risiko des Ganzen größer ist als die Summe seiner Teile
Am 11. April 2023 veröffentlichte SAP im Rahmen seines regelmäßigen Sicherheitspatch-Zyklus einen Patch für eine weitere Sicherheitslücke, die von Pablo Artuso von Onapsis Research Labs entdeckt wurde (CVE-2023-28761). Was Sicherheitspatches angeht, mag dies wie „Business as usual“ erscheinen, doch lassen Sie mich erläutern, warum ich der Meinung bin, dass dies nicht der Fall ist.
Alle Sicherheitslücken sind wichtig, und viele Unternehmen nutzen unterschiedliche Mechanismen, um die Reaktionszeit für die Installation von Sicherheitspatches zur Behebung dieser Schwachstellen festzulegen. Auch wenn ein umfassenderer Ansatz wie SSVC nützlich ist, ist in den meisten Fällen der CVSS-Wert der wichtigste Faktor für die Reaktionszeit.
CVE-2023-28761 selbst hat eine CVSS-v3-Bewertung von 6,5, was einer Kritikalität der Stufe „MEDIUM“* entspricht, und Unternehmen neigen dazu, diese mittelschweren Schwachstellen mit geringerer Dringlichkeit zu beheben. Hier wird es jedoch interessanter: Diese Schwachstelle kann von nicht authentifizierten Angreifern aus der Ferne ausgenutzt werden, um letztendlich eine weitere Reihe kritischerer Schwachstellen auszunutzen, die bereits von SAP behoben wurden:
| Details zur Sicherheitslücke | CVSS | CVE | Sicherheitshinweis |
| SQL-Injection und DoS im SearchFacade P4-Dienst | 9.9 | CVE-2022-41272 | 3273480 |
| Willkürliches Auslesen von DoS- und OS-Dateien beim Sperren des P4-Dienstes | 9.9 | CVE-2023-23857 | 3252433 |
| RFC-Ausführung und Offenlegung von Klartext-Passwörtern im rfcengine P4 Service | 9.4 | CVE-2023-0017 | 3268093 |
| SQL-Injection und DoS im JobBean P4-Dienst | 9.4 | CVE-2022-41271 | 3267780 |
| Offenlegung von Informationen im Cache-P4-Dienst | 5.3 | CVE-2023-26460 | 3288096 |
| Offenlegung von Informationen im Dienst „Classload P4“ | 5.3 | CVE-2023-24526 | 3288394 |
| Offenlegung von Informationen im Rahmen des „Object Analyzing P4“-Dienstes | 5.3 | CVE-2023-27268 | 3288480 |
Insgesamt können also Schwachstellen, die an sich vielleicht nicht über das Internet zugänglich waren, von einem Angreifer ausgenutzt werden, indem er eine Schwachstelle mit mittlerem Schweregrad nutzt, wodurch sich die gesamte Gruppe von Schwachstellen letztendlich zu folgendem Ergebnis summiert:
- Aus der Ferne ausnutzbar
- Nicht authentifiziert
- Über das HTTP-Protokoll erreichbar (möglicherweise über das Internet)
- Erhebliche, kritische Auswirkungen auf das System
Verkettung von Sicherheitslücken
Das Kombinieren von Sicherheitslücken (vor allem aber von Exploits) wird als „Exploit Chaining“ bezeichnet und ist für versierte Angreifer keine neue Taktik. In der Vergangenheit Onapsis Research Labs die Onapsis Research Labs bereits mehrfach darüber berichtet, dass Angreifer verschiedene Sicherheitslücken nutzen, um unterschiedliche Ziele zu erreichen, wobei ihr oberstes Ziel stets darin besteht, an Unternehmensdaten zu gelangen.
Da Angreifer erhebliche Möglichkeiten haben, diese Familie von Sicherheitslücken zu verketten, um letztlich weitreichendere und schwerwiegendere Auswirkungen zu erzielen, Onapsis Research Labs die Onapsis Research Labs diese Familie von CVEs gemeinsam als „P4CHAINS“; darunter fallen alle in diesem Blogbeitrag genannten CVEs.
Nächste Schritte zum Schutz vor P4CHAINS
Die Tatsache, dass es für einen Angreifer sehr gut möglich ist, diese Schwachstellen durch Exploit-Chaining zu verketten, um eine tiefgreifendere Kompromittierung von Unternehmensanwendungen zu erreichen, unterstreicht die Notwendigkeit, Schwachstellen und die dazugehörigen Sicherheitshinweise nach deren Veröffentlichung weiterhin aufmerksam zu verfolgen, um die Reaktionsmaßnahmen auf monatlicher Basis zu steuern. Für sich genommen ist die Auswirkung von CVE-2023-28761 gering, doch das Risiko einer Eskalation ist höher, da diese Schwachstelle mit der größeren P4CHAINS-Familie kombiniert und verkettet werden kann.
Wenn schon nichts anderes, so hebt P4CHAINS vor allem (und ganz einfach) hervor,
- Es ist wichtig, Patches zu installieren
- Es ist wichtig, Patches rechtzeitig
- Es ist wichtig, Patches rechtzeitig für alle Anwendungen
In vielen Fällen ist die CVSS-Bewertung von Schwachstellen ein nützlicher Maßstab. Man sollte jedoch bedenken, dass diese Bewertungen keine absoluten Richtwerte sind. Für Unternehmen ist es entscheidend, Zugang zu aktuellen threat intelligence zu haben, threat intelligence besser zu verstehen, welche Schwachstellen ausgenutzt werden, welche Arten von Risiken mit höherer Priorität als üblich behandelt werden sollten und wie die wertvolle Zeit und Arbeitskapazität Ihres Teams letztendlich am besten priorisiert werden kann. Andernfalls entsteht ein Gesamtrisiko, das deutlich größer ist als die Summe seiner Einzelteile.
Unser CTO und Leiter der Onapsis Research Labs in einem speziellen Briefing zu Bedrohungen Einblicke Onapsis Research Labs . Sehen Sie sich die Aufzeichnung hier an.
——-
* Common Vulnerability Scoring System v3.1: Spezifikationsdokument
Über den Autor
