Kritisch

Ausführung von RFC-Befehlen ohne Authentifizierung und Offenlegung von Passwörtern im Klartext im rfcengine P4-Dienst

HTTP-Request-Smuggling im SAP Web Dispatcher – Auswirkungen auf den Geschäftsbetrieb Ein nicht authentifizierter Angreifer, der Zugriff auf den P4-Port einer Java-basierten SAP-Lösung hat, könnte im Klartext gespeicherte Anmeldedaten auslesen, vom Zielsystem implementierte RFC-Funktionen ausführen oder sogar gespeicherte Verbindungen erstellen, ändern oder löschen. Infolgedessen könnte das System…

Weiterlesen Ausführung von RFC-Befehlen ohne Authentifizierung und Offenlegung von Passwörtern im Klartext im rfcengine P4-Dienst
Nicht authentifizierte SQL-Injection und DoS im SeachFacade P4-Dienst

Nicht authentifizierte SQL-Injection und DoS im SeachFacade P4-Dienst – Auswirkungen auf den Geschäftsbetrieb Ein nicht authentifizierter Angreifer, der Zugriff auf den P4-Port einer Java-basierten SAP-Lösung hat, könnte beliebige Tabellen aus der Datenbank auslesen, sensible Informationen verändern und/oder einen Denial-of-Service-Angriff auf das Zielsystem auslösen. Infolgedessen könnten sensible Informationen…

Weiterlesen Nicht authentifizierte SQL-Injection und DoS im SeachFacade P4-Dienst
Nicht authentifizierte SQL-Injection und DoS im JobBean P4-Dienst

Nicht authentifizierte SQL-Injection und DoS im JobBean P4-Dienst – Auswirkungen auf den Geschäftsbetrieb Ein nicht authentifizierter Angreifer, der Zugriff auf den P4-Port einer Java-basierten SAP-Lösung hat, könnte beliebige Tabellen aus der Datenbank auslesen, sensible Informationen verändern und/oder einen Denial-of-Service-Angriff auf das Zielsystem auslösen. Infolgedessen könnten sensible Informationen…

Weiterlesen Nicht authentifizierte SQL-Injection und DoS im JobBean P4-Dienst
SAP Enterprise Portal – XSLT-Injektion

AUSWIRKUNGEN AUF DEN BETRIEB Diese XSLT-Sicherheitslücke ermöglicht es einem nicht privilegierten, authentifizierten Angreifer, einen Betriebssystembefehl als SAP-Administrator auf Betriebssystemebene (sidadm) auszuführen. Dies führt zu einer vollständigen Gefährdung der Vertraulichkeit, Integrität und Verfügbarkeit des Systems. BETROFFENE KOMPONENTEN BESCHREIBUNG SAP Enterprise Portal ist eine Web-Frontend-Komponente für SAP NetWeaver. Betroffene Komponenten: ENGINEAPI 7.10 ENGINEAPI…

Weiterlesen SAP Enterprise Portal – XSLT-Injektion
Leitfaden zu CVE-2021-44228 (Log4Shell) und SAP-Anwendungen

Hinweis: Bitte beachten Sie, dass sich alle hier bereitgestellten Informationen ändern können, da immer wieder neue Angriffe und Umgehungsmöglichkeiten für die vorgeschlagenen Abhilfemaßnahmen entdeckt werden. Die Informationen auf dieser Seite wurden zuletzt am 27. Dezember 2021 um 10:00 Uhr EST aktualisiert. AKTUALISIERUNGEN 27.12.2021: AKTUALISIERUNGEN 17.12.2021: Einleitung Am 9. Dezember wurde eine kritische Sicherheitslücke (CVE-2021-44228) entdeckt…

Weiterlesen Leitfaden zu CVE-2021-44228 (Log4Shell) und SAP-Anwendungen
Fehlende Authentifizierungsprüfung in SAP NetWeaver

Auswirkungen auf den Geschäftsbetrieb Ein böswilliger, nicht authentifizierter Benutzer könnte die fehlende Authentifizierungsprüfung bei der SAP-Java-P2P-Clusterkommunikation ausnutzen, um eine Verbindung zu den entsprechenden TCP-Ports herzustellen und verschiedene privilegierte Aktionen durchzuführen, wie zum Beispiel: Installation neuer vertrauenswürdiger SSO-Anbieter Änderung von Datenbankverbindungsparametern Zugriff auf Konfigurationsinformationen Änderung von Netzwerkkonfigurationen und möglicherweise…

Weiterlesen Fehlende Authentifizierungsprüfung in SAP NetWeaver
Fehlende Berechtigungsprüfung im SAP Solution Manager

Auswirkungen auf den Geschäftsbetrieb Aufgrund einer fehlenden Berechtigungsprüfung in der Komponente LM-SERVICE des SAP Solution Managers könnte ein authentifizierter Angreifer aus der Ferne privilegierte Aktionen auf dem betroffenen System ausführen, darunter auch die Ausführung von Betriebssystembefehlen. Betroffene Komponenten Beschreibung LM-SERVICE, eine Kernkomponente des SAP Solution Managers, ist von dieser Sicherheitslücke betroffen. Für…

Weiterlesen Fehlende Berechtigungsprüfung im SAP Solution Manager
SAP Manufacturing Integration & Intelligence – Fehlende serverseitige Validierungen

Auswirkungen auf den Geschäftsbetrieb Durch Ausnutzen einer Code-Injection in SAP MII könnte ein authentifizierter Benutzer mit SAP-XMII-Entwicklerrechten Code (einschließlich Betriebssystembefehle) auf dem Server ausführen. Damit wäre er in der Lage, alle Aktionen auszuführen, die auch ein SAP-Administrator ausführen kann. Zu den möglichen Aktionen gehören: Zugriff auf die SAP-Datenbanken sowie das Lesen, Ändern und Löschen beliebiger…

Weiterlesen SAP Manufacturing Integration & Intelligence – Fehlende serverseitige Validierungen
Sicherheitslücke durch OS-Befehlsinjektion in SAP Wily Introscope Enterprise

Auswirkungen auf den Geschäftsbetrieb: Die Sicherheitslücke kann es einem Angreifer ermöglichen, Betriebssystembefehle einzuschleusen und so control vollständige control den Host zu erlangen, auf dem der CA Introscope Enterprise Manager ausgeführt wird. Der Angriff kann aus der Ferne gestartet werden und erfordert weder eine Authentifizierung noch besondere Berechtigungen. Betroffene Komponenten: Beschreibung: Der CA Introscope Enterprise Manager ist Teil von CA APM Introscope(R), einer…

Weiterlesen Sicherheitslücke durch OS-Befehlsinjektion in SAP Wily Introscope Enterprise

SAP-Sicherheits- und Compliance-Bewertung

Sichern Sie Ihre Zukunft: Vorbereitung auf eine erfolgreiche SAP-RISE-Transformation

Cyberangriff auf SAP gefährdet globalen Hersteller

Hacking und Verteidigung von SAP-Anwendungen – Live

10 Gründe, warum sich immer mehr Unternehmen für Onapsis entscheiden

Kritisch

Ausführung von RFC-Befehlen ohne Authentifizierung und Offenlegung von Passwörtern im Klartext im rfcengine P4-Dienst

Nicht authentifizierte SQL-Injection und DoS im SeachFacade P4-Dienst

Nicht authentifizierte SQL-Injection und DoS im JobBean P4-Dienst

SAP Enterprise Portal – XSLT-Injektion

Leitfaden zu CVE-2021-44228 (Log4Shell) und SAP-Anwendungen

Fehlende Authentifizierungsprüfung in SAP NetWeaver

Fehlende Berechtigungsprüfung im SAP Solution Manager

SAP Manufacturing Integration & Intelligence – Fehlende serverseitige Validierungen

Sicherheitslücke durch OS-Befehlsinjektion in SAP Wily Introscope Enterprise

SAP-Sicherheits- und Compliance-Bewertung

Sichern Sie Ihre Zukunft: Vorbereitung auf eine erfolgreiche SAP-RISE-Transformation

Cyberangriff auf SAP gefährdet globalen Hersteller

Hacking und Verteidigung von SAP-Anwendungen – Live

10 Gründe, warum sich immer mehr Unternehmen für Onapsis entscheiden