Auswirkungen auf die Wirtschaft
Ein böswilliger, nicht authentifizierter Benutzer könnte die fehlende Authentifizierungsprüfung bei der SAP-Java-P2P-Clusterkommunikation ausnutzen, um eine Verbindung zu den entsprechenden TCP-Ports herzustellen und verschiedene privilegierte Aktionen auszuführen, wie zum Beispiel:- Neue vertrauenswürdige SSO-Anbieter einrichten
- Ändern der Datenbankverbindungsparameter
- Zugriff auf Konfigurationsinformationen erhalten
- Netzwerkkonfigurationen ändern und dadurch möglicherweise interne Netzwerke beeinträchtigen
Betroffene Komponenten – Beschreibung
SAP NetWeaver Java Version 7.10 – 7.50 (Ausführliche Informationen zu den betroffenen Releases finden Sie im SAP-Hinweis Nr. 2974774)Details zur Sicherheitslücke
Der seit Version 7.10 in SAP AS Java eingeführte Cluster Manager lauscht standardmäßig auf allen Schnittstellen. Der TCP-Port, auf dem der CM lauscht, wird – wie bei vielen SAP-Produkten – durch ein Portmuster definiert. In diesem Fall wurde der Port durch folgende Struktur definiert: 50000+100*+20+*5 Dabei bezieht sich * auf die JAVA-Instanznummer des Systems und die Knotennummer innerhalb des Clusters. Aufgrund mehrerer fehlender Authentifizierungsprüfungen könnte ein Angreifer, der den TCP-Port des Cluster Managers erreichen kann, Aktionen mit hohen Berechtigungen ausführen, die es ihm unter anderem ermöglichen, SAP-Systemadministratorrechte zu erlangen oder ohne Authentifizierung einen Denial-of-Service-Angriff durchzuführen.Lösung
SAP hat den SAP-Hinweis Nr. 2974774 veröffentlicht, der gepatchte Versionen der betroffenen Komponenten enthält. Die Patches können heruntergeladen werden unter https://launchpad.support.sap.com/#/notes/2974774. Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitspatches herunterzuladen und auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken zu minimieren.Zeitachse des Berichts
- 26.08.2020: Onapsis übermittelt SAP Einzelheiten zu Sicherheitslücken
- 26.08.2020: SAP stellt eine interne Sendungsnummer zur Verfügung
- 12.10.2020: SAP gibt ein Update heraus: Sicherheitslücke bestätigt – Behebung in Arbeit
- 08.12.2020: SAP veröffentlicht einen SAP-Hinweis, der das Problem behebt.
QUELLENANGABEN
- Onapsis-Blogbeitrag: https://onapsis.com/blog/sap-security-notes-december-2020
- CVE Mitre: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26829
- Hersteller-Patch: https://launchpad.support.sap.com/#/notes/2974774
Hinweise
- Veröffentlichungsdatum: 14.06.2021
- Sicherheitshinweis-ID: ONAPSIS-2021-0013
- ID der gemeldeten Sicherheitslücke: 838, 839, 840, 844
- Forscher: Ignacio Favro
Informationen zur Sicherheitslücke
- Anbieter: SAP
- Sicherheitslücke: |LS|CWE-306|RS| Fehlende Authentifizierung für kritische Funktion
- CVSS v3-Bewertung: 10,0 (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)
- Schweregrad: Kritisch
- CVE: CVE-2020-26829
- Informationen zum Hersteller-Patch: SAP-Sicherheitshinweis 2974774
ÜBER UNSERE FORSCHUNGSLABORE Onapsis Research Labs bietet eine Branchenanalyse der wichtigsten Sicherheitsprobleme, die sich auf geschäftskritische Systeme und Anwendungen auswirken. Onapsis Research Labs veröffentlichen regelmäßig aktuelle Sicherheits- und Compliance-Hinweise mit entsprechenden Risikoeinstufungen und Onapsis Research Labs fundiertes Fachwissen und Erfahrung, um der breiteren Informationssicherheits-Community technische und geschäftliche Einblicke mit fundierten Sicherheitsbeurteilungen zu liefern. Alle gemeldeten Sicherheitslücken finden Sie unter https://github.com/Onapsis/vulnerability_advisories Dieser Hinweis unterliegt einer Creative Commons 4.0 BY-ND International-Lizenz