Umgehung von MS_ACL_INFO unter bestimmten Bedingungen
Auswirkungen auf die Wirtschaft
Der Message-Server ist eine zentrale Komponente jedes SAP-Systems. Wenn bestimmte Bedingungen erfüllt sind (die in einem späteren Abschnitt aufgeführt werden), funktioniert die ACL INFO nicht mehr, sodass jeder nicht authentifizierte Angreifer neue Anwendungsserver registrieren kann (10Kblaze-Angriff).Betroffene Komponenten – Beschreibung
Jede Message-Server-Binärdatei zwischen den SAP-Kernel-Versionen 7.22 und 7.77.Details zur Sicherheitslücke
Der SAP Message Server ist eine zentrale Komponente eines SAP-Systems. Der Großteil der Kernkonfiguration dieser Komponente erfolgt über den internen Port. Es wurde festgestellt, dass aufgrund eines Speicher-Aliasing-Problems unter bestimmten Bedingungen der Wert in einem Betriebssystemregister falsch geschrieben wird. Infolgedessen gibt die Bedingung einer weiteren „if“-Anweisung immer TRUE zurück, wodurch der ACL-Schutz unwirksam wird. Mit anderen Worten: Die ACL_INFO (die ACL, die steuert, welche Hosts neue Anwendungsserver registrieren dürfen) wirkt wie eine „Alles zulassen“-Einstellung. Die folgenden Voraussetzungen müssen erfüllt sein:- Zumindest einer der in ACL_INFO zulässigen Hosts ist eine IP-Adresse.
- Die konfigurierte Protokollierungsstufe ist > 1.
- „system/secure_communications“ ist auf „OFF“ gesetzt.
Lösung
SAP hat den SAP-Hinweis 3344295 veröffentlicht, der gepatchte Versionen der betroffenen Komponenten enthält. Die Patches können heruntergeladen werden unter https://me.sap.com/notes/3344295. Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitspatches herunterzuladen und auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken zu minimieren.Zeitachse des Berichts
- 24.05.2023: Onapsis meldet SAP eine Sicherheitslücke
- 24.05.2023: SAP bestätigt den Bericht
- 08.08.2023: SAP veröffentlicht den Patch.
Literaturverzeichnis
- Onapsis-Blogbeitrag: https://onapsis.com/blog/sap-security-patch-day-august-2023/
- CVE Mitre: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-37491
- Hersteller-Patch: https://me.sap.com/notes/3344295
Hinweise
- Veröffentlichungsdatum: 16.08.2024
- Sicherheitshinweis-ID: ONAPSIS-2024-0006
- Forscher: Pablo Artuso und Hernan Formoso
Informationen zur Sicherheitslücke
- Anbieter: SAP
- Betroffene Komponenten:
- SAP Message Server von Kernel 7.22 bis 7.77
- Sicherheitslücke: CWE-306: Fehlende Authentifizierung für kritische Funktion
- CVSS v3-Bewertung: 7,5 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
- Risikostufe: Hoch
- Zugewiesene CVE-Nummer: CVE-2023-37491
- Informationen zum Hersteller-Patch: SAP-Sicherheitshinweis 3344295