SAP-Code-Injection
Auswirkungen auf das Geschäft
Ein authentifizierter Angreifer kann bei anderen Benutzern einen Denial-of-Service-Zustand herbeiführen, wodurch diese nicht mehr über das SAP GUI auf das System zugreifen können. Zudem kann der Angreifer benutzerspezifische Favoritenknoten ändern oder löschen, was zu Betriebsstörungen und dem Verlust von Komfortfunktionen für die betroffenen Geschäftsanwender führt.
Details zur Sicherheitslücke
Ein bestimmter Funktionsbaustein im betroffenen System ist so konzipiert, dass er auf der Client-Seite einen Webbrowser mit einer vorgegebenen URL startet. Zwar gibt es eine Whitelist zur Überprüfung dieses URL-Parameters, doch kann ein Angreifer diese Sicherheitsmaßnahme umgehen, um Binärdateien auf Client-Systemen auszuführen. Durch die erfolgreiche Ausnutzung dieser Schwachstelle könnte ein Angreifer aus der Ferne unbefugten Zugriff auf beliebige Geschäftsdaten erlangen oder diese verändern.
Lösung
SAP hat diese Sicherheitslücke durch die Veröffentlichung des SAP-Sicherheitshinweises Nr. 2525392 behoben, der gepatchte Versionen der betroffenen Komponenten enthält. Onapsis empfiehlt SAP-Kunden dringend, diese Sicherheitspatches unverzüglich herunterzuladen und zu installieren, um geschäftliche Risiken zu minimieren.
Zeitachse des Berichts
- 16.08.2017: Onapsis übermittelt SAP Informationen zu Sicherheitslücken.
- 17.08.2017: SAP bestätigt den Erhalt des Sicherheitslückenberichts.
- 10.01.2018: SAP veröffentlicht den SAP-Sicherheitshinweis Nr. 2525392, um die Sicherheitslücke zu beheben.
- 24.05.2018: Onapsis veröffentlicht den offiziellen Sicherheitshinweis.
Hinweise
- Veröffentlichungsdatum: 24.05.2018
- Sicherheitshinweis-ID: ONAPSIS-2018-016
- Onapsis SVS-ID: 00654
- CVE: CVE-2018-2363
- Forscher: Matias Sena
- Vom Hersteller angegebener CVSS v3-Wert: 6,5 (AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L)
- Onapsis CVSS v3: 8,0 (AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:H)
Informationen zur Sicherheitslücke
- Anbieter: SAP
- Betroffene Komponenten: SAP NetWeaver ABAP 7.4
- Sicherheitslücke: CWE-96: Unsachgemäße Neutralisierung von Anweisungen in statisch gespeichertem Code („Static Code Injection“)
- Aus der Ferne ausnutzbar: Ja
- Lokal nutzbar: Nein
- Authentifizierung erforderlich: Nein
Betroffene Komponenten – Beschreibung
SAP NetWeaver dient als technologische platform SAP und bildet die Grundlage, auf der Unternehmens- und Branchenlösungen entwickelt und ausgeführt werden.
Über unsere Forschungslabore
Onapsis Research Labs bietet Branchenanalysen zu wichtigen Sicherheitsfragen, die sich auf geschäftskritische Systeme und Anwendungen auswirken. Onapsis Research Labs veröffentlicht regelmäßig zeitnahe Sicherheits- und Compliance-Hinweise mit entsprechenden Risikoeinstufungen und Onapsis Research Labs fundiertes Fachwissen und Erfahrung, um der breiteren Informationssicherheits-Community technische und geschäftliche Einblicke mit fundierten Sicherheitsbeurteilungen zu liefern.
Alle gemeldeten Sicherheitslücken finden Sie unter: https://github.com/Onapsis/vulnerability_advisories
Dieser Hinweis unterliegt einerCreative-Commons-Lizenz 4.0 BY-ND International.