Sicherheitslücke durch OS-Befehlsinjektion in SAP Wily Introscope Enterprise
14. Juni 2021
Auswirkungen auf die Wirtschaft
Die Sicherheitslücke kann es einem Angreifer ermöglichen, Betriebssystembefehle einzuschleusen und so control vollständige control den Host zu erlangen, auf dem der CA Introscope Enterprise Manager ausgeführt wird. Der Angriff kann aus der Ferne gestartet werden und erfordert weder eine Authentifizierung noch besondere Berechtigungen.Betroffene Komponenten – Beschreibung
CA Introscope Enterprise Manager ist Teil von CA APM Introscope(R), einer Lösung für das Application Performance Management zur Verwaltung der Leistung von Java-Anwendungen. Mit der „Right to View“-Version (RTV) von CA APM Introscope liefert SAP eine schreibgeschützte Version des Vollprodukts aus, die im Lieferumfang des SAP Solution Manager (SolMan) enthalten ist. Diese Version unterstützt nur Produkte, die von SAP lizenziert und unterstützt werden. CA APM Introscope ist in die SolMan-Infrastruktur integriert. Während die CA Introscope Enterprise Manager direkt mit SolMan verbunden sind, laufen die Introscope-Host-Adapter (auch als Wily-Host-Agenten bekannt) innerhalb der SolMan-Diagnostik-Agenten (SMD-Agenten), die auf jedem von SolMan überwachten SAP-Host installiert sind. Betroffene Komponenten:- Wily Introscope Enterprise 9.7
- Wily Introscope Enterprise 10.1
- Wily Introscope Enterprise 10.5
- Wily Introscope Enterprise 10.7
Details zur Sicherheitslücke
Im Anmeldeprozess des Webdienstes „SAP Wily Introscope Enterprise Manager“ besteht eine Sicherheitslücke, die eine Remote-Befehlsinjektion ermöglicht.Lösung
SAP hat den SAP-Hinweis 2969828 veröffentlicht, der gepatchte Versionen der betroffenen Komponenten enthält. Die Patches können heruntergeladen werden unter https://launchpad.support.sap.com/#/notes/2969828 Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitspatches herunterzuladen und auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken zu minimieren.Zeitachse des Berichts
- 25.08.2020: Onapsis übermittelt Daten an SAP
- 25.08.2020: SAP stellt SR-ID bereit
- 28.08.2020: SAP bestätigt die Sicherheitslücke
- 09.09.2020: SAP gibt ein Update heraus: „Behebung in Arbeit“
- 13.10.2020: SAP veröffentlicht einen SAP-Hinweis zur Behebung des Problems. Die Sicherheitslücke ist nun geschlossen.
QUELLENANGABEN
- Onapsis-Blogbeitrag: https://onapsis.com/blog/sap-security-notes-October-2020
- CVE Mitre: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6364
- Hersteller-Patch: https://launchpad.support.sap.com/#/notes/2969828
- Hersteller-FAQ: https://launchpad.support.sap.com/#/notes/2973306
Hinweise
- Veröffentlichungsdatum: 14.06.2021
- Sicherheitshinweis-ID: ONAPSIS-2021-0008
- ID der gemeldeten Sicherheitslücke: 841
- Forscher: Yvan Genuer
Informationen zur Sicherheitslücke
- Anbieter: SAP
- Sicherheitslücke: |LS|CWE-502|RS| Deserialisierung nicht vertrauenswürdiger Daten
- CVSS v3-Wert: 10,0 AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
- Schweregrad: Kritisch
- CVE: CVE-2020-6364
- Informationen zum Hersteller-Patch: SAP-Sicherheitshinweise 2969828 und 2973306
ÜBER UNSERE FORSCHUNGSLABORE Onapsis Research Labs bietet eine Branchenanalyse der wichtigsten Sicherheitsprobleme, die sich auf geschäftskritische Systeme und Anwendungen auswirken. Onapsis Research Labs veröffentlichen regelmäßig aktuelle Sicherheits- und Compliance-Hinweise mit entsprechenden Risikoeinstufungen und Onapsis Research Labs fundiertes Fachwissen und Erfahrung, um der breiteren Informationssicherheits-Community technische und geschäftliche Einblicke mit fundierten Sicherheitsbeurteilungen zu liefern. Alle gemeldeten Sicherheitslücken finden Sie unter https://github.com/Onapsis/vulnerability_advisories Dieser Hinweis unterliegt einer Creative Commons 4.0 BY-ND International-Lizenz