Sicherheitslücken im SAP Remote Function Call (RFC) im Jahr 2023

Von:

6. Juli 2023

Im Jahr 2007 stellte Mariano Nuñez, CEO und Mitbegründer von Onapsis, auf der Black Hat Europe mehrere Sicherheitslücken und Angriffe vor, die das RFC-Protokoll betrafen. Diese Präsentation war ein Aufruf an die Forschungsgemeinschaft, sich verstärkt der Verbesserung der Sicherheit von SAP-Anwendungen und SAP-Protokollen zu widmen.

Am 29. Juni 2023 – sechzehn Jahre später – hielt Fabian Hagg, ein Sicherheitsforscher mit langjähriger Erfahrung im Bereich SAP-Anwendungen, auf der TROOPERS-Konferenz in Heidelberg einen Vortrag, in dem er Einzelheiten zu vier Sicherheitslücken im RFC-Protokoll vorstellte. Ihm wird die Aufdeckung dieser Sicherheitslücken zugeschrieben, die von Angreifern miteinander verkettet und kombiniert werden können, um die Kontrolle über SAP-Anwendungen zu erlangen, die das RFC-Protokoll nutzen.

Sicherheitslücken im SAP RFC

Der Vortrag von Fabian Hagg umfasste die Veröffentlichung eines whitepaper mit Einzelheiten zum RFC-Protokoll sowie Proof-of-Concept-Code und Details zu den folgenden Schwachstellen:

  • CVE-2023-0014 (SAP-Sicherheitshinweis 3089413) – CVSS 9,8
  • CVE-2021-27610 (SAP-Sicherheitshinweis 3007182) – CVSS 9,8
  • CVE-2021-33677 (SAP-Sicherheitshinweis 3044754) – CVSS 7,5
  • CVE-2021-33684 (SAP-Sicherheitshinweis 3032624) – CVSS 5.3

Aufgrund der potenziell kritischen Schwere der bekannt gewordenen Sicherheitslücken könnten ungeschützte SAP-Anwendungen von nicht authentifizierten Angreifern aus der Ferne kompromittiert werden, was die Integrität, Vertraulichkeit und Verfügbarkeit dieser Anwendungen beeinträchtigen könnte. Darüber hinaus könnten Angreifer aufgrund der kritischen Bedeutung von SAP-Anwendungen und der damit verbundenen Geschäftsprozesse Spionage (Zugriff auf Geschäftsinformationen), Sabotage (Störung von Geschäftsprozessen) oder Betrugsangriffe (Veränderung von Geschäftsdaten) durchführen. 

Behebung dieser Sicherheitslücken

Die Lösungen für die verschiedenen Sicherheitslücken sind vielfältig und umfassen sowohl das Patchen des SAP-Kernels als auch die Aktualisierung der Softwarekomponente SAP_BASIS. In einigen Fällen sind beide Maßnahmen erforderlich, sodass das Beheben dieser Sicherheitslücken Zeit und Vorbereitung erfordert. Einige dieser Patches wurden bereits vor zwei Jahren veröffentlicht, andere erst vor wenigen Monaten, sodass es möglich ist, dass viele Unternehmen zumindest einige der Lösungen bereits implementiert haben. Es ist jedoch wichtig, Ihre Systeme auf diese Schwachstellen zu überprüfen, um sicherzustellen, dass Sie Ihre Software sowohl gepatcht als auch aktualisiert haben.

Ich empfehle Ihrem Team dringend, Ihre Systeme auf diese Schwachstellen zu überprüfen. Alle bestehenden Assess -Kunden haben die Möglichkeit zu prüfen, ob die entsprechenden SAP-Sicherheitshinweise für ihre Systeme relevant sind und ob diese seit der Veröffentlichung der Hinweise bereits angewendet wurden. Darüber hinaus erhalten Kunden mit dem Threat Intel Center ein Update mit Einzelheiten zu dieser Untersuchung sowie eine Liste aller Systeme, die nach wie vor anfällig sind.

Stichworte,
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen