Neu Report Enthüllt Hinweise auf ein gestiegenes Interesse von Cyberkriminellen an ERP-Anwendungen Herunterladen

HTTP-Anforderungsschmuggel im SAP Web Dispatcher

Auswirkungen auf das Geschäft

Durch das Einfügen einer HTTP-Anfrage als Präfix in die Anfrage eines Opfers kann ein böswilliger Benutzer auf unterschiedliche Weise Schaden anrichten, beispielsweise indem er einen Denial-of-Service auslöst, indem er eine ungültige Anfrage als Präfix festlegt.

Es ist auch möglich, eine gültige vorangestellte Anfrage einzufügen, die die Informationen des Opfers aus der ursprünglichen Anfrage enthält. Dies kann ausgenutzt werden, um böswillige Anfragen mit den Anmeldeinformationen oder Informationen des Opfers durchzuführen oder sogar Benutzerdaten zu stehlen.

HTTP-Schmuggel kann auch mit anderen Schwachstellen wie XSS oder reflektiertem Inhalt (keine Schwachstelle an sich) kombiniert werden, indem eine Anfrage als Präfix an die anfällige Anwendung/Webseite eingefügt wird. Wenn der Angreifer das Präfix der Opferanfrage festlegen kann und auch ein reflektiertes XSS kennt (es kann auch mit anderen Inhaltsreflexionen funktionieren), dann enthält die Antwort ein bösartiges Skript, das im Browser des Opfers ausgeführt wird.

Diese Schwachstelle ist auch nützlich, um Web Cache Poisoning durchzuführen.

Die HTTP-Caches in den verschiedenen Schichten sehen gültige Anfragen, für die die Antwort gespeichert werden sollte (als statisch betrachtet), aber die eigentliche Anfrage wird durch das Präfix des Angreifers geändert, um eine andere Ressource abzurufen, die nicht im Cache gespeichert werden sollte.

Wenn ein Benutzer beispielsweise ein Bild anfordert, wird der Server die Antwort wahrscheinlich zwischenspeichern, da die Ressource statisch ist. Wenn dieser Anfrage jedoch eine andere Anfrage vorangestellt ist, die sensible Daten, wie z. B. persönliche Informationen, zurückgibt, wird diese Antwort im Cache gespeichert. Wenn der Angreifer also dasselbe Bild anfordert, werden alle persönlichen Daten des Opfers abgerufen.

Schließlich könnte die Offenlegung kritischer Informationen zu Session-Hijacking und weiteren Angriffen führen. Dies kann durch die Kombination von HTTP-Desynchronisierung mit Open Redirect erreicht werden und die Anfrage des Opfers als Parameter des Umleitungsstandorts verwenden. Dies würde das Opfer dazu zwingen, seine ursprüngliche Anfrage an den Angreifer zu senden, einschließlich kritischer Daten wie Sitzungscookies oder Abfrageparametern.

Beschreibung der betroffenen Komponenten

Der SAP Web Dispatcher fungiert als Frontend-Server zwischen dem Internet und einem oder mehreren Backend-Systemen. Besteht aus einem oder mehreren SAP Netweaver ABAP, SAP Netweaver JAVA, SAP HANA sowie Anwendungsservern von Drittanbietern.

Sicherheitslücken Details

Im SAP Web Dispatcher liegt eine HTTP-Desynchronisierungsschwachstelle vom Typ TE.CL vor, wenn der Parameter „wdisp/HTTP/use_pool_for_new_conn“ aktiviert ist.

Poolverbindungsbezogener SAP-Hinweis:

  • 2007212 – Optimierung des SAP Web Dispatchers und ICM für hohe Auslastung
  • 953784 – SAP Web Dispatcher-Verbindungspooling

Wenn ein Angreifer in derselben HTTP-Anfrage die beiden HTTP-Header „Content-Length“ (CL) und „Transfer-Encoding“ (TE) sendet, verarbeitet der SAP Webdispatcher den TE-Header und behandelt den Nachrichtentext so, als würde er Chunked Encoding verwenden. Diese Anfrage wird an den ICM-Service des SAP-Systems weitergeleitet, der nur den CL-Header verarbeitet und daraus die Body-Size ermittelt. Der Rest der Anfrage bleibt unbearbeitet und wird vom ICM als Beginn der nächsten Anfrage in der Sequenz behandelt.

Dies kann genutzt werden, um Gewinne zu erzielen control von Anfragen anderer Benutzer und erhalten Sie vertrauliche Informationen, indem Sie die Anfragen und Antworten des Opfers abrufen.

Lösung

SAP hat den SAP-Hinweis 3080567 veröffentlicht, der gepatchte Versionen der betroffenen Komponenten bereitstellt.

Die Patches können unter https://launchpad.support.sap.com/#/notes/3080567 heruntergeladen werden

Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitsfixes herunterzuladen und auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken zu reduzieren.

Report Timeline

  • 07: Onapsis sendet Details an SAP
  • 07: SAP stellt interne ID bereit
  • 08: Sicherheitslücke in Bearbeitung
  • 09: SAP veröffentlicht SAP-Hinweis zur Behebung des Problems.
  • 05: Beratung veröffentlicht.

REFERENZEN

Beratungsinformationen

  • Datum der Veröffentlichung: 04
  • Security Advisory ID: ONAPSIS-2022-0001
  • Schwachstellen-Einreichungs-ID: 900, 901, 902
  • Forscher: Martin Doyhenard, Yvan Genuer

Informationen zur Sicherheitslücke

  • Anbieter: SAP
  • Schwachstellenklasse: CWE-444
  • CVSS v3-Score: 8.9 AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:L
  • Schweregrad: Hoch
  • CVE: CVE-2021-38162
  • Informationen zum Hersteller-Patch: SAP-Sicherheitshinweis 3080567

ÜBER UNSER RESEARCH LABS

Onapsis Research Labs bietet eine Branchenanalyse wichtiger Sicherheitsprobleme, die sich auf geschäftskritische Systeme und Anwendungen auswirken.

Bereitstellung regelmäßiger und zeitnaher Sicherheits- und Compliance-Hinweise mit zugehörigen Risikostufen, Onapsis Research Labs bündeln fundiertes Wissen

und Erfahrung, um der breiteren Informationssicherheitsgemeinschaft technische und geschäftliche Zusammenhänge mit fundiertem Sicherheitsurteil zu vermitteln.

Finde alles reported Schwachstellen bei https://github.com/Onapsis/vulnerability_advisories

Diese Beratung ist lizenziert unter a Creative Commons 4.0 BY-ND Internationale Lizenz

Sind Sie bereit, Ihren Blind Spot im Bereich der SAP-Cybersicherheit zu beseitigen?

Wir zeigen Ihnen, wie einfach es sein kann, Ihre Geschäftsanwendungen zu schützen.

Kontakt

©2024 Onapsis | Alle Rechte vorbehalten