SAP-Sicherheitspatch-Tag Februar 2022: Schwere HTTP-Smuggling-Sicherheitslücken in SAP NetWeaver

Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Februar gehören:

• Zusammenfassung für Februar – 22 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter acht HotNews-Hinweise und drei Hinweise mit hoher Priorität. 
• Neue CISA-Warnung – Die Cybersecurity and Infrastructure Security Agency (CISA) des US-Heimatschutzministeriums hat drei neue Sicherheitslücken aufgelistet, von denen fast alle SAP-Kunden betroffen sind
• Onapsis Research Labs – Enge Partnerschaft mit SAP zur Meldung neuer kritischer Sicherheitslücken sowie zur Bereitstellung technischer Details und Unterstützung bei der Behebung

SAP hat an seinem Patch Day im Februar 22 neue und aktualisierte Sicherheitshinweise veröffentlicht (einschließlich der Hinweise, die seit dem letzten Patch Tuesday veröffentlicht oder aktualisiert wurden). Darunter befinden sich acht HotNews-Hinweise und drei Hinweise mit hoher Priorität. 

Der „Patch Tuesday“ von SAP im Februar bringt neue, äußerst kritische Sicherheitslücken in allen SAP-Anwendungen mit sich, die auf SAP NetWeaver basieren. Diese ermöglichen es einem nicht authentifizierten Angreifer, aus der Ferne auf eine betroffene SAP-Anwendung zuzugreifen und control vollständige control das System zu erlangen.

Auf die Einzelheiten dieser kritischen Sicherheitslücken wird später in diesem Beitrag eingegangen. Konzentrieren wir uns zunächst auf die hohe Anzahl der veröffentlichten HotNews-Meldungen.

Die meisten HotNews-Meldungen vom Februar sind lediglich Aktualisierungen oder schließen die „Log4j-Sicherheitslücke“, die in weiteren SAP-Anwendungen entdeckt wurde. Obwohl diese Schwachstellen bereits zuvor entdeckt worden waren, wurde der entsprechende Patch erst am SAP-Patch-Day im Januar bereitgestellt.

Die SAP-Sicherheitshinweise Nr. 3130920 und Nr. 3142773 beheben die Log4j-Sicherheitslücke in SAP Data Intelligence und SAP Commerce. Der SAP-Sicherheitshinweis Nr. 3132922 ist eine Aktualisierung eines Log4j-Patches für Platform SAP Internet of Things Edge Platform nun die Version 2.17.1 der log4j-Bibliothek enthält und somit auch die Sicherheitslücke CVE-2021-44832 abdeckt.

Der SAP-HotNews-Hinweis Nr. 3133772 bezieht sich ebenfalls auf Log4j und enthält eine geringfügige textliche Aktualisierung: Die CVE-2021-44228 fehlte im Abschnitt „Symptom“ des Hinweises. Der zentrale SAP-Sicherheitshinweis Nr. 3131047 zu Log4j wurde entsprechend aktualisiert. Selbstverständlich sind alle diese Hinweise mit einem CVSS-Wert von 10 gekennzeichnet.

Der HotNews-Hinweis Nr. 2622660 ist der regelmäßig erscheinende SAP-Sicherheitshinweis für den SAP Business Client, der einen Patch bereitstellt, der die neueste getestete Chromium-Version 97.0.4692.99 enthält. Kunden des SAP Business Client wissen bereits, dass Updates dieses Hinweises stets wichtige Korrekturen enthalten, die unbedingt installiert werden müssen. Der Hinweis verweist auf 91 Chromium-Korrekturen und gibt einen maximalen CVSS-Wert von 8,8 für die behobenen Schwachstellen an. Dies ist ein überraschend niedriger Wert, wenn man bedenkt, dass seit der letzten unterstützten Chromium-Version drei Probleme mit der Priorität „Kritisch“ und 47 Probleme mit der Priorität „Hoch“ behoben wurden. (Die letzten beiden Zahlen spiegeln nur Schwachstellen wider, die extern gemeldet wurden, da Google keine Informationen zu intern entdeckten Problemen bereitstellt.)

Onapsis Research Labs drei schwerwiegende HTTP-Smuggling-Sicherheitslücken in SAP NetWeaver

„HTTP Request Smuggling“ ist eine Technik, mit der die Art und Weise manipuliert wird, wie eine Website Sequenzen von HTTP-Anfragen verarbeitet, die von einem oder mehreren Benutzern empfangen werden. Es kann verschiedene Ursachen dafür geben, dass solche Angriffe möglich sind:

Im September 2021 hat SAP in Zusammenarbeit mit den Onapsis Research Labs eine HTTP-Smuggling-Sicherheitslücke (CVE-2021-3816) behoben. Diese Sicherheitslücke ist darauf zurückzuführen, dass der SAP Web Dispatcher und die SAP-Backend-Systeme unter bestimmten Umständen nicht dieselbe Methode zur Interpretation der Länge einer HTTP-Nachricht verwendeten. Ein Angreifer konnte Nachrichten unter Verwendung beider Methoden senden und dabei widersprüchliche Informationen bereitstellen. Infolgedessen waren die Backend-Systeme nicht in der Lage, jede einzelne Nachricht eindeutig zu identifizieren und voneinander zu trennen. Dies konnte von einem Angreifer ausgenutzt werden, um control Anfragen anderer Benutzer zu erlangen und sogar sensible Informationen zu erlangen, indem er die Anfragen und Antworten des Opfers abrief.

Die neu entdeckten Sicherheitslücken werden alle durch fehlerhafte Mechanismen zur Speicherverwaltung in der SAP-Komponente „Internet Communication Manager“ (ICM) verursacht, die bei der Verarbeitung von HTTP(S)-Anfragen auftreten. Wir haben diese Sicherheitslücken gemeinsam als„ICMAD“ (Internet Communication Manager Advanced Desync) bezeichnet.

Die schwerwiegendste ICM-Sicherheitslücke wird durch den SAP-Sicherheitshinweis Nr . 3123396 behoben, der mit der maximalen CVSS-Bewertung von 10 versehen ist. Betroffen sind folgende Anwendungen:

• SAP NetWeaver AS ABAP
• ABAP Platform
• SAP NetWeaver AS Java
• SAP Content Server 7.53
• SAP Web Dispatcher

Nur Fälle, in denen ein HTTP-Client direkt auf einen SAP-Anwendungsserver zugreift (ohne einen Umweg über ein HTTP-Gateway wie den SAP Web Dispatcher oder einen Load Balancer oder Reverse Proxy eines Drittanbieters), sind davon nicht betroffen – ein sehr unwahrscheinliches Szenario.

Die Sicherheitslücke ermöglicht es nicht authentifizierten Angreifern, der Anfrage eines Opfers beliebige Daten voranzustellen und so Funktionen auszuführen, bei denen sie sich als das Opfer ausgeben oder zwischengeschaltete Web-Caches manipulieren. Die Onapsis Research Labs nachweisen, dass Angreifer die Sicherheitslücke zuverlässig ausnutzen können.

Während die Ausnutzung der Schwachstelle CVE-2021-3816 mehrere Interaktionen zwischen dem Angreifer und der anfälligen Komponente erfordert, sieht die Situation bei der neu entdeckten Schwachstelle anders aus. Der Grund dafür ist, dass ein Angreifer nur eine einzige Anfrage benötigt, um sie auszunutzen, was diesen Angriff wesentlich einfacher macht.

Zwei weitere ICM-Sicherheitslücken wurden von SAP in enger Zusammenarbeit mit Onapsis mit dem SAP-Sicherheitshinweis Nr . 3123427 behoben; ihnen wurden CVSS-Werte von 8,1 und 7,5 zugewiesen – beide können von einem nicht authentifizierten Angreifer aus der Ferne ausgenutzt werden. Sie betreffen jedoch nur SAP-Anwendungen, die auf SAP NetWeaver AS Java laufen. 

Die erste Schwachstelle ermöglicht es Angreifern, manipulierte HTTP-Anfragen zu senden, die zu einer fehlerhaften Verarbeitung des gemeinsam genutzten Speicherpuffers führen. Je nach den Berechtigungen des Opfers kann dies zu einer vollständigen Übernahme des Systems führen, indem sich der Angreifer als das Opfer ausgibt oder dessen Anmeldesitzung stiehlt.

Die zweite Sicherheitslücke kann zu einem Denial-of-Service-Zustand führen, da Speicherpuffer in bestimmten Fehlersituationen nicht vollständig freigegeben werden, um Platz für neue HTTP-Anfragen zu schaffen. Ein Angreifer könnte mehrere Fehler auslösen, um immer mehr Speicher zu blockieren, sodass dieser für reguläre Benutzeranfragen nicht mehr verfügbar ist.

Es ist wichtig zu beachten, dass der CVSS-Wert von 8,1, der der ersten der beiden Schwachstellen zugewiesen wurde, lediglich auf die höhere Komplexität möglicher Exploits zurückzuführen ist, während der Umfang eines Angriffs unverändert bleibt. Die Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der betroffenen Anwendung sind dieselben wie bei der Schwachstelle mit CVSS-Wert 10, die mit dem SAP-Sicherheitshinweis Nr. 3123396 behoben wurde.  

Die Cybersecurity and Infrastructure Security Agency (CISA) des US-Heimatschutzministeriums hat eineaktuelle Sicherheitswarnungzu diesen Sicherheitslücken herausgegeben. CISA, SAP und Onapsis raten allen betroffenen Organisationen dringend, diese Sicherheitshinweise so schnell wie möglich umzusetzen und dabei vorrangig jene Systeme zu behandeln, die mit nicht vertrauenswürdigen Netzwerken wie dem Internet verbunden sind.

Wenn Sie sich eingehender mit diesen kritischen Sicherheitslücken befassen möchten, laden Sie unseren Bedrohungsbericht der Onapsis Research Labs herunter.

Weitere kritische SAP-Sicherheitshinweise im Februar

Der SAP-Sicherheitshinweis Nr . 3140940 mit einem CVSS-Wert von 9,1 vervollständigt die Reihe der HotNews-Hinweise vom Februar. Der Hinweis behebt eine Schwachstelle im Bereich der Aufgabentrennung (Segregation of Duties, SoD) in der Root Cause Analysis des SAP Solution Manager Diagnostics. Sie ermöglicht es einem Angreifer, Dateien zu durchsuchen und Code auf allen verbundenen Diagnostics Agents über das Netzwerk auszuführen. Der Angreifer kann die Vertraulichkeit, Integrität und Verfügbarkeit des Systems vollständig kompromittieren. Das Einzige, was verhindert, dass die Schwachstelle mit einem CVSS-Score von 10 bewertet wird, ist die Tatsache, dass für einen erfolgreichen Exploit Administratorrechte erforderlich sind. 

Der SAP-Sicherheitshinweis Nr. 3112928, der mit einem CVSS-Wert von 8,7 versehen ist, wurde ursprünglich am Patch Day im Januar von SAP veröffentlicht und behebt zwei Sicherheitslücken in der Anwendung „Create Single Payment“ von SAP S/4HANA. Der Hinweis wurde mit einigen geringfügigen textlichen Änderungen im Abschnitt „Lösung“ aktualisiert.

Der SAP-Sicherheitshinweis Nr. 3140587 weist einen CVSS-Wert von 7,1 auf und behebt eine SQL-Injection-Sicherheitslücke in SAP NetWeaver AS ABAP (Workplace Server). Die WHERE-Bedingung einer SQL-Anweisung wurde dynamisch aufgebaut, wodurch ein Angreifer manipulierte Datenbankabfragen ausführen konnte. Glücklicherweise war lediglich eine SELECT-Anweisung betroffen, sodass Angreifer keine Daten verändern konnten.

Zusammenfassung und Schlussfolgerungen

Während viele SAP-Kunden möglicherweise noch damit beschäftigt sind, alle von Log4j betroffenen SAP-Anwendungen zu patchen, bringt der SAP Patch Day im Februar eine Reihe neuer, äußerst kritischer Sicherheitslücken mit sich. Dies zeigt, dass der Bedarf an Patches für SAP-Kunden niemals enden wird. Wir sind stolz darauf, eng mit dem Product Security Response Team von SAP zusammengearbeitet zu haben, um die neuesten kritischen Sicherheitslücken zu identifizieren, assess und zu beheben.

Onapsis Research Labs aktualisiert die Platform Onapsis Research Labs mit den neuesten threat intelligence Sicherheitsempfehlungen, damit unsere Kunden den sich ständig weiterentwickelnden Bedrohungen immer einen Schritt voraus sind und ihre Unternehmen schützen können.

Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest“-Newsletter.

ICMAD-Ressourcen

• Wenn Sie sich eingehender mit den ICMAD-Sicherheitslücken befassen möchten, laden Sie unseren Bedrohungsbericht herunter.
• Jetzt ansehen: Executive Briefing von SAP und Onapsis zu kritischen ICMAD-Sicherheitslücken
• Onapsis Research Labs ein kostenloses Tool zum Scannen nach Sicherheitslücken Onapsis Research Labs , mit dem SAP-Kunden ihre gesamte SAP-Landschaft auf Anwendungen überprüfen können, die von den ICMAD-Sicherheitslücken betroffen sind.
• Wenn Sie kein Onapsis-Kunde sind oder weitere Informationen oder Unterstützung benötigen, um auf diese Situation zu reagieren, fordern Sie hier ein Sicherheitsbriefing an.