Willkürliche Ausführung von RFC-Funktionen über SHDB_TOOLS_RFC_WRAPPER
Auswirkungen auf das Geschäft
Durch Ausnutzung dieser Sicherheitslücke könnte ein Angreifer aus der Ferne Benutzer dazu verleiten, auf speziell gestaltete URLs zuzugreifen, die durch das Auslösen bestimmter Ereignisse bestimmte Aktionen im SAP-System auslösen könnten.Details zur Sicherheitslücke
Aufgrund des uneingeschränkten Wirkungsbereichs des RFC-Funktionsbausteins (SHDB_TOOLS_RFC_WRAPPER) ermöglichen SAP BASIS – Versionen 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 789, 790, 791) ermöglicht es einem authentifizierten Angreifer ohne Administratorrechte, auf eine Systemklasse zuzugreifen und beliebige ihrer öffentlichen Methoden mit vom Angreifer bereitgestellten Parametern auszuführen. Bei erfolgreicher Ausnutzung kann der Angreifer control vollständige control das System erlangen, zu dem die Klasse gehört, was erhebliche Auswirkungen auf die Integrität der Anwendung hat.Lösung
SAP hat den SAP-Hinweis 3268172 veröffentlicht, der gepatchte Versionen der betroffene Komponenten. Die Patches können heruntergeladen werden unter https://me.sap.com/notes/3268172 Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitskorrekturen zu erstellen und diese auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken minimieren.Zeitachse des Berichts
- 02.11.2022: Onapsis meldet SAP eine Sicherheitslücke
- 13.12.2022: SAP veröffentlicht den Patch.
- 24.01.2023: SAP veröffentlicht ein Update zum Patch
Literaturverzeichnis
- Onapsis-Blogbeitrag: https://onapsis.com/blog/sap-security-patch-day-december-2022/
- CVE Mitre: https://www.cve.org/CVERecord?id=CVE-2022-41264
- Hersteller-Patch: https://me.sap.com/notes/3268172
Hinweise
- Veröffentlichungsdatum: 28.08.25
- Sicherheitshinweis-ID: ONAPSIS-2024-0046
- Forscher: Ignacio Oliva
Informationen zur Sicherheitslücke
- Anbieter: SAP
- Betroffene Komponenten:
- SAP BASIS 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 789, 790, 791 (Ausführliche Informationen zu den betroffenen Releases finden Sie im SAP-Hinweis 3268172)
- Schwachstellenklasse: CWE-94: Unsachgemäße Control Codegenerierung („Code-Injection“)
- CVSS v3-Bewertung: 8,8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
- Risikostufe: Hoch
- Zugewiesene CVE-Nummer: CVE-2022-41264
- Informationen zum Hersteller-Patch: SAP Security NOTE 3268172
Betroffene Komponenten – Beschreibung
Diese Sicherheitslücke betrifft Systeme mit SAP Basis Versionen 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 789, 790, 791Über unsere Forschungslabore
Onapsis Research Labs bietet Branchenanalysen zu zentralen Sicherheitsfragen, die sich auf geschäftskritische Systeme und Anwendungen auswirken. Onapsis Research Labs veröffentlichen regelmäßig aktuelle Sicherheits- und Compliance-Hinweise mit entsprechenden Risikoeinstufungen und Onapsis Research Labs fundiertes Fachwissen und langjährige Erfahrung, um der breiteren Informationssicherheits-Community technische und geschäftliche Einblicke sowie fundierte Sicherheitsbeurteilungen zu liefern.Alle gemeldeten Sicherheitslücken finden Sie unter: https://github.com/Onapsis/vulnerability_advisories
Dieser Hinweis unterliegt einer Creative Commons 4.0 BY-ND International-Lizenz