Das ICMAD ist zurück: Kritische Sicherheitslücken bei ICM über HTTP/2

Am 11. Juli 2023 veröffentlichte SAP im Rahmen seines regelmäßigen monatlichen Sicherheitspatch-Zyklus Patches für zwei neue Sicherheitslücken (CVE-2023-33987 und CVE-2023-35871), die eine der kritischsten Komponenten von SAP-Anwendungen betreffen: den SAP Internet Communications Manager, auch bekannt als ICM. Wenn Ihnen das bekannt vorkommt, sollte es das auch. Im vergangenen Jahr veröffentlichte Onapsis eine Sicherheitswarnung zu ICMAD, einer Reihe kritischer Schwachstellen, die den ICM betreffen.  

ICMAD – Hohe Kritikalität 

Diese beiden neuen Sicherheitslücken wurden mit einer hohen Kritikalität (Korrektur mit hoher Priorität) und CVSS-Werten von 7,7 bis 8,6 bewertet. Die Bewertungen sind angesichts der Art der Angriffe gerechtfertigt, die durch die Ausnutzung dieser beiden Sicherheitslücken möglich sind; diese reichen von Denial-of-Service-Angriffen bis hin zum Diebstahl oder zur Manipulation von Benutzerdaten durch gezielte Angriffe auf einen anfälligen HTTP-Server. Es ist anzumerken, dass, wie bei den ursprünglichen ICMAD-Schwachstellen, alle diese Angriffe über Fernzugriff und ohne Authentifizierung möglich sind. 

Hintergrund der ICMAD-Sicherheitslücken

Im Februar 2022 veröffentlichte SAP Patches für drei Sicherheitslücken, die das ICM betrafen und als besonders kritisch eingestuft wurden. Diese Sicherheitslücken wurden von Onapsis aufgrund ihrer Bedeutung und des erhöhten Risikos, das eine sofortige Behebung durch die Unternehmen erforderte, als „ICMAD“ bezeichnet. Was damals bei ICMAD besonders auffiel, war die Komplexität dieser Sicherheitslücken: In einigen Fällen konnten sie direkt auf dem HTTP-Server ausgenutzt werden, während in anderen Szenarien ein zwischengeschalteter Proxy erforderlich war, um eine Desynchronisation herbeizuführen. 

Zurück in der Gegenwart weisen diese beiden jüngsten Sicherheitslücken mehrere Parallelen zu ICMAD auf, da die Angriffe sehr ähnlich sind und auch das Ausmaß der Auswirkungen vergleichbar ist. Nicht jeder ist ein Fan von Fortsetzungen, aber man könnte diese Sicherheitslücken als ICMAD2 betrachten.

Da die Sicherheitshinweise erst kürzlich veröffentlicht wurden, hat das Onapsis Research Labs (ORL) noch keine aktive Ausnutzung festgestellt. Generell beobachtet ORL jedoch in der Regel eine erhöhte Aktivität in der Woche nach dem Patch Tuesday. Darüber hinaus ist es wichtig zu beachten, dass die vorherige Reihe von ICMAD-Schwachstellen im Jahr 2022 aufgrund aktiver Ausnutzung von der CISA in den Katalog bekannter ausgenutzter Schwachstellen aufgenommen wurde. Daher rechnet ORL in den kommenden Wochen nach der Veröffentlichung der Patches für diese Schwachstellen mit einer hohen Wahrscheinlichkeit potenzieller Bedrohungsaktivitäten. Wie immer wird ORL erhöhte Exploit-Aktivitäten weiterhin im Auge behalten und diesen Bereich entsprechend aktualisieren.

Bin ich betroffen?

Da der ICM für eine Vielzahl von SAP-Produkten von zentraler Bedeutung ist, ist es mehr als wahrscheinlich, dass eine große Anzahl von Unternehmen potenziell betroffen ist. Diese Sicherheitslücken betreffen beispielsweise eine Vielzahl von SAP-Produkten, die den ICM nutzen, wie SAP S/4HANA, SAP ERP, SAP Web Dispatcher und SAP HANA – um nur einige zu nennen. Technisch gesehen betrifft dies alles, was auf SAP NetWeaver ABAP, SAP Web Dispatcher, SAP HANA XS und XSA aufbaut. Allerdings ist zu beachten, dass der SAP NetWeaver Application Server für Java HTTP/2 nicht unterstützt und diese beiden neuen Schwachstellen daher keine Auswirkungen auf Produkte haben, die auf NetWeaver Java basieren.

Onapsis leistet weiterhin einen Beitrag zur SAP-Sicherheit

Diese beiden Sicherheitslücken wurden SAP von den Onapsis Research Labs gemeldet, was auf unser kontinuierliches Bestreben zurückzuführen ist, die allgemeine Sicherheit von SAP-Produkten zu verbessern und damit SAP-Kunden zu schützen. Die entsprechenden Korrekturen wurden im Rahmen der folgenden SAP-Sicherheitshinweise veröffentlicht, die am 11. Juli 2023 erschienen sind:

• 3233899 – [CVE-2023-33987] Sicherheitslücke durch Request Smuggling und Request Concatenation im SAP Web Dispatcher
• 3340735 – [CVE-2023-35871] Sicherheitslücke durch Speicherbeschädigung im SAP Web Dispatcher

Dies ist ein weiterer Beleg dafür, wie wichtig gezielte Sicherheitsforschung für die Verbesserung der Sicherheit geschäftskritischer Anwendungen wie SAP ist und wie die enge Partnerschaft zwischen SAP und Onapsis Unternehmen mit sicheren Anwendungen und erstklassigen Produkten die bestmöglichen Ergebnisse liefert. Vielen Dank an das SAP-PSRT-Team für die kontinuierliche Zusammenarbeit.

Workarounds und Empfehlungen für ICMAD2

Trotz der oben erwähnten Schwere dieser beiden Sicherheitslücken ist anzumerken, dass sie einen Vorteil bieten, der bei anderen Sicherheitslücken nicht immer gegeben ist. Da diese Sicherheitslücken die HTTP/2-Implementierung des ICM betreffen, gelten Anwendungen, bei denen HTTP/2 nicht aktiviert ist, als nicht anfällig für CVE-2023-33987 und CVE-2023-35871. 

Aus diesem Grund besteht eine Übergangslösung zur Minderung dieser Sicherheitslücken darin, die Unterstützung für HTTP/2 in den betroffenen Anwendungen einfach zu deaktivieren. Dies kann sich zwar auf die Leistung auswirken (laut den veröffentlichten SAP-Sicherheitshinweisen schätzt SAP den Leistungsabfall auf etwa 20 %), sollte aber funktional mit HTTP/2 gleichwertig bleiben.

Um die Unterstützung für HTTP/2 zu deaktivieren, sollte der Profilparameter icm/HTTP/support_http2 auf FALSE gesetzt werden. Der Speicherort dieser Konfiguration hängt vom jeweiligen Produkt ab (z. B. sollte sie für das ICM in SAP NetWeaver ABAP im Profil DEFAULT konfiguriert werden).

Ansonsten empfiehlt ORL allen Organisationen, insbesondere solchen, die ICM mit HTTP/2 einsetzen, die Behebung dieser beiden Sicherheitslücken so schnell wie realistisch möglich vorrangig zu behandeln.