Denial-of-Service-Angriff in SAP NetWeaver AS ABAP

13. April 2021

Denial-of-Service-Angriff in SAP NetWeaver AS ABAP

Auswirkungen auf das Geschäft

Ein Angreifer von außerhalb kann alle Arbeitsprozesse eines auf SAP NetWeaver AS ABAP laufenden SAP-Systems blockieren. Dies hat erhebliche negative Auswirkungen auf die Verfügbarkeit des Systems und seiner Geschäftsanwendungen.

Details zur Sicherheitslücke

Der remote-fähige Funktionsbaustein SPI_WAIT_MILLIS blockiert einen Workprozess für einen bestimmten Zeitraum, dessen Dauer vom Aufrufer des Funktionsbausteins gesteuert werden kann. Ein böswilliger Benutzer könnte den Funktionsbaustein mehrfach parallel von außen aufrufen, um mehrere oder alle Workprozesse zu blockieren und so das System lahmzulegen. Der anfällige Funktionsbaustein wird mit der Softwarekomponente SAP_BASIS ausgeliefert und ist in der Anwendungskomponente SAP Process Monitoring Infrastructure (PMI) (BC-SRV-PMI) enthalten.

Lösung

SAP hat den SAP-Hinweis 3028729 veröffentlicht, der gepatchte Versionen der betroffenen Komponenten enthält.  Die Patches können heruntergeladen werden unter https://me.sap.com/notes/3028729  Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitspatches herunterzuladen und auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken zu minimieren.

Zeitachse des Berichts

  •  01.02.2021: Die Sicherheitslücke wurde dem Hersteller gemeldet.
  • 02.04.2021: Der Anbieter teilt die Vorfallnummer mit.
  • 13.04.2021: Patch veröffentlicht.

Literaturverzeichnis

Zurück zu den Hinweisen

Hinweise

  • Veröffentlichungsdatum: 13.04.2021
  • Sicherheitshinweis-ID: ONAPSIS-2024-0048
  • ID der gemeldeten Sicherheitslücke: 881
  • Forscher: Thomas Fritsch

Informationen zur Sicherheitslücke

  • Anbieter: SAP
  • Betroffene Komponenten:
    • SAP_BASIS 702
    • SAP_BASIS 730
    • SAP_BASIS 731  
    • SAP_BASIS 740  
    • SAP_BASIS 750  
    • SAP_BASIS 751
    • SAP_BASIS 752 (Ausführliche Informationen zu den betroffenen Releases finden Sie im SAP-Hinweis 3028729)
  • Schwachstellenklasse: [CWE-770: Zuweisung von Ressourcen ohne Begrenzung oder Drosselung](https://cwe.mitre.org/data/definitions/770.html)
  • CVSS v3-Wert: 6,5 (AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
  • Risikostufe: Mittel
  • Zugewiesene CVE: [CVE-2021-27603](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27603)
  • Informationen zum Hersteller-Patch: [SAP-Sicherheitshinweis 3028729](https://me.sap.com/notes/3028729)

Betroffene Komponenten – Beschreibung

Die Komponente SAP_BASIS umfasst den ABAP-Teil der technischen Ebene eines SAP NetWeaver Application Server ABAP (SAP NW AS ABAP). Sie bildet die technische Grundlage für alle SAP-Anwendungen und Geschäftsprozesse, die auf SAP NW AS ABAP basieren.

Über unsere Forschungslabore

Onapsis Research Labs bietet eine Branchenanalyse der wichtigsten Sicherheitsprobleme, die sich auf geschäftskritische Systeme und Anwendungen auswirken. Onapsis Research Labs veröffentlichen regelmäßig aktuelle Sicherheits- und Compliance-Hinweise mit entsprechenden Risikoeinstufungen und Onapsis Research Labs fundiertes Fachwissen und langjährige Erfahrung, um der breiteren Informationssicherheits-Community technische und geschäftliche Einblicke sowie fundierte Sicherheitsbewertungen zu liefern. Alle gemeldeten Sicherheitslücken finden Sie unter: https://github.com/Onapsis/vulnerability_advisories Dieser Hinweis unterliegt einer Creative Commons 4.0 BY-ND International-Lizenz
Zurück zu den Hinweisen

Weiterführende Literatur

Hinweis

SAP BEx – Denial-of-Service-Angriffe und willkürliche Änderung/Löschung von Favoriten

SAP BEx – Denial-of-Service und willkürliche Änderung/Löschung von Favoriten – Auswirkungen auf den Geschäftsbetrieb Ein authentifizierter Angreifer kann einen Denial-of-Service-Zustand für andere Benutzer herbeiführen und diese daran hindern, über das SAP GUI auf das System zuzugreifen. Darüber hinaus kann der Angreifer benutzerspezifische Favoritenknoten ändern oder löschen, was zu Betriebsstörungen und dem Verlust von Komfortfunktionen für die betroffenen…

Weiterlesen
Hinweis

Denial-of-Service-Angriffe und willkürliche Änderung/Löschung von Favoriten

Auswirkungen von Denial-of-Service-Angriffen und der willkürlichen Änderung bzw. Löschung von Favoriten auf den Geschäftsbetrieb Ein authentifizierter Angreifer kann einen Denial-of-Service-Zustand für andere Benutzer herbeiführen und diese daran hindern, über das SAP GUI auf das System zuzugreifen. Darüber hinaus kann der Angreifer benutzerspezifische Favoritenknoten ändern oder löschen, was zu Betriebsstörungen und dem Verlust von Komfortfunktionen für die betroffenen Geschäftsanwender führt….

Weiterlesen
Hinweis

Offene Weiterleitung im SAP HANA XSA UAA-Server

Auswirkungen der „Open Redirect“-Sicherheitslücke im SAP HANA XSA UAA Server auf den Geschäftsbetrieb Die „Open Redirect“-Sicherheitslücke ermöglicht es Angreifern, Benutzer auf beliebige Websites umzuleiten und Phishing-Angriffe durchzuführen. Die Phisher können dann die Anmeldedaten der Opfer oder andere wichtige Daten stehlen, die in weiteren Angriffsketten genutzt werden können. Dies hat begrenzte Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der…

Weiterlesen