HTTP-Request-Smuggling im SAP Web Dispatcher

5. April 2022

HTTP-Request-Smuggling im SAP Web Dispatcher

Auswirkungen auf die Wirtschaft

Durch das Einfügen einer HTTP-Anfrage als Präfix in die Anfrage des Opfers kann ein böswilliger Nutzer auf verschiedene Weise Schaden anrichten, beispielsweise indem er durch das Setzen einer ungültigen Anfrage als Präfix einen Denial-of-Service-Angriff auslöst. Es ist auch möglich, eine gültige Anfrage mit Präfix einzufügen, die die Informationen des Opfers aus dessen ursprünglicher Anfrage enthält. Dies kann genutzt werden, um böswillige Anfragen mit den Anmeldedaten oder Informationen des Opfers durchzuführen oder sogar Benutzerdaten zu stehlen. HTTP-Smuggling kann auch mit anderen Schwachstellen wie XSS oder reflektierten Inhalten (keine Schwachstelle an sich) kombiniert werden, indem eine Anfrage als Präfix in die anfällige Anwendung/Webseite eingefügt wird. Wenn der Angreifer in der Lage ist, das Präfix der Opferanfrage festzulegen und zudem ein reflektiertes XSS kennt (dies funktioniert auch mit anderen Arten der Inhaltsreflexion), enthält die Antwort ein bösartiges Skript, das im Browser des Opfers ausgeführt wird. Diese Schwachstelle eignet sich auch für Web-Cache-Poisoning. Die HTTP-Caches in den verschiedenen Schichten erkennen gültige Anfragen, deren Antwort gespeichert werden sollte (als statisch betrachtet), doch die eigentliche Anfrage wird durch das Präfix des Angreifers so verändert, dass eine andere Ressource abgerufen wird, die nicht im Cache gespeichert werden sollte. Wenn ein Benutzer beispielsweise ein Bild anfordert, wird der Server die Antwort wahrscheinlich zwischenspeichern, da die Ressource statisch ist. Wenn dieser Anfrage jedoch eine andere Anfrage vorangestellt wird, die sensible Daten wie persönliche Informationen zurückgibt, wird diese Antwort im Cache gespeichert. Wenn der Angreifer dann dasselbe Bild anfordert, werden alle persönlichen Informationen des Opfers abgerufen. Schließlich könnte eine Offenlegung kritischer Informationen zu Session-Hijacking und weiteren Angriffen führen. Dies kann durch die Kombination von HTTP-Desynchronisation mit Open Redirect erreicht werden, wobei die Anfrage des Opfers als Parameter für den Umleitungsort verwendet wird. Dies würde das Opfer dazu zwingen, seine ursprüngliche Anfrage an den Angreifer zu senden, einschließlich kritischer Daten wie Session-Cookies oder Abfrageparameter.

Betroffene Komponenten – Beschreibung

Der SAP Web Dispatcher fungiert als Frontend-Server zwischen dem Internet und einem oder mehreren Backend-Systemen. Diese bestehen aus einem oder mehreren SAP NetWeaver ABAP-, SAP NetWeaver Java- und SAP HANA-Anwendungsservern sowie Anwendungsservern von Drittanbietern.

Details zur Sicherheitslücke

Im SAP Web Dispatcher besteht eine HTTP-Desynchronisationsschwachstelle vom Typ TE.CL, wenn der Parameter „`wdisp/HTTP/use_pool_for_new_conn`“ aktiviert ist. SAP-Hinweis zum Thema Pool-Verbindungen:
  • 2007212 – Optimierung des SAP Web Dispatchers und des ICM für hohe Auslastung
  • 953784 – Verbindungspooling des SAP Web Dispatchers
Wenn ein Angreifer in derselben HTTP-Anfrage sowohl den HTTP-Header „Content-Length“ (CL) als auch den „Transfer-Encoding“ (TE) sendet, verarbeitet der SAP Webdispatcher den TE-Header und behandelt den Nachrichtentext so, als würde er die Chunked-Codierung verwenden. Diese Anfrage wird an den ICM-Dienst des SAP-Systems weitergeleitet, der nur den CL-Header verarbeitet und anhand dessen die Größe des Nachrichtentextes ermittelt. Der Rest der Anfrage bleibt unverarbeitet, und der ICM behandelt ihn als Beginn der nächsten Anfrage in der Sequenz. Dies kann ausgenutzt werden, um control Anfragen anderer Benutzer zu erlangen und durch das Abrufen der Anfragen und Antworten des Opfers an sensible Informationen zu gelangen.

Lösung

SAP hat den SAP-Hinweis 3080567 veröffentlicht, der gepatchte Versionen der betroffenen Komponenten enthält. Die Patches können unter https://launchpad.support.sap.com/#/notes/3080567 heruntergeladen werden. Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitspatches herunterzuladen und auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken zu minimieren.

Zeitachse des Berichts

  • 12.07.2021: Onapsis übermittelt Daten an SAP
  • 12.07.2021: SAP stellt interne ID bereit
  • 08.09.2021: Sicherheitslücke wird derzeit behoben
  • 14.09.2021: SAP veröffentlicht einen SAP-Hinweis zur Behebung des Problems.
  • 05.04.2022: Veröffentlichung der Empfehlung.
QUELLENANGABEN

Hinweise

  • Veröffentlichungsdatum: 05.04.2022
  • Sicherheitshinweis-ID: ONAPSIS-2022-0001
  • ID der gemeldeten Sicherheitslücke: 900, 901, 902
  • Forscher: Martin Doyhenard, Yvan Genuer

Informationen zur Sicherheitslücke

  • Anbieter: SAP
  • Schwachstellenklasse: CWE-444
  • CVSS v3-Wert: 8,9 AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:L
  • Schweregrad: Hoch
  • CVE: CVE-2021-38162
  • Informationen zum Hersteller-Patch: SAP-Sicherheitshinweis 3080567
ÜBER UNSERE FORSCHUNGSLABORE Onapsis Research Labs bietet eine Branchenanalyse der wichtigsten Sicherheitsprobleme, die sich auf geschäftskritische Systeme und Anwendungen auswirken. Onapsis Research Labs veröffentlichen regelmäßig aktuelle Sicherheits- und Compliance-Hinweise mit entsprechenden Risikoeinstufungen und Onapsis Research Labs fundiertes Fachwissen und Erfahrung, um der breiteren Informationssicherheits-Community technische und geschäftliche Einblicke mit fundierten Sicherheitsbeurteilungen zu liefern. Alle gemeldeten Sicherheitslücken finden Sie unter https://github.com/Onapsis/vulnerability_advisories Dieser Hinweis unterliegt einer Creative Commons 4.0 BY-ND International-Lizenz
Zurück zu den Hinweisen

Weiterführende Literatur

Hinweis

SAP BEx – Denial-of-Service-Angriffe und willkürliche Änderung/Löschung von Favoriten

SAP BEx – Denial-of-Service und willkürliche Änderung/Löschung von Favoriten – Auswirkungen auf den Geschäftsbetrieb Ein authentifizierter Angreifer kann einen Denial-of-Service-Zustand für andere Benutzer herbeiführen und diese daran hindern, über das SAP GUI auf das System zuzugreifen. Darüber hinaus kann der Angreifer benutzerspezifische Favoritenknoten ändern oder löschen, was zu Betriebsstörungen und dem Verlust von Komfortfunktionen für die betroffenen…

Weiterlesen
Hinweis

Denial-of-Service-Angriffe und willkürliche Änderung/Löschung von Favoriten

Auswirkungen von Denial-of-Service-Angriffen und der willkürlichen Änderung bzw. Löschung von Favoriten auf den Geschäftsbetrieb Ein authentifizierter Angreifer kann einen Denial-of-Service-Zustand für andere Benutzer herbeiführen und diese daran hindern, über das SAP GUI auf das System zuzugreifen. Darüber hinaus kann der Angreifer benutzerspezifische Favoritenknoten ändern oder löschen, was zu Betriebsstörungen und dem Verlust von Komfortfunktionen für die betroffenen Geschäftsanwender führt….

Weiterlesen
Hinweis

Offene Weiterleitung im SAP HANA XSA UAA-Server

Auswirkungen der „Open Redirect“-Sicherheitslücke im SAP HANA XSA UAA Server auf den Geschäftsbetrieb Die „Open Redirect“-Sicherheitslücke ermöglicht es Angreifern, Benutzer auf beliebige Websites umzuleiten und Phishing-Angriffe durchzuführen. Die Phisher können dann die Anmeldedaten der Opfer oder andere wichtige Daten stehlen, die in weiteren Angriffsketten genutzt werden können. Dies hat begrenzte Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der…

Weiterlesen