SAP EA-DFPS – Syslog-Überlastung
Auswirkungen auf die Wirtschaft
Durch das Verfälschen der Protokollierung im SAP-Hauptsystem könnte ein Angreifer unter anderem:- Schädliche Aktivitäten verbergen
- Das Syslog dazu bringen, sein Limit zu erreichen, und sich dann selbst überschreiben, um die Aktivitäten zu löschen
- Eine falsche Alarmmeldung auslösen, um Ablenkung zu erzeugen
Betroffene Komponenten – Beschreibung
Aus der offiziellen SAP-Website. Aufgrund der Besonderheiten ihrer Einsätze und Aufgaben müssen Streitkräfte, Polizei und Hilfsorganisationen auf eine mehrstufige Systemarchitektur zurückgreifen können, die den Offline-Betrieb ermöglicht, um die folgenden Aktivitäten von der heimischen Einsatz- und Übungsbasis aus durchzuführen. Die Komponente „Defense Forces & Public Security“ (DFPS) erweitert die Standardfunktionen von SAP und erfüllt damit die oben genannten Anforderungen.Details zur Sicherheitslücke
Der Funktionsbaustein /ISDFPS/SYNC_SLOG_WRITE_ENTRY, der im Paket /ISDFPS/SYNC enthalten ist, kann neue Einträge in das SAP-Systemprotokoll schreiben. Für den Meldungsschlüssel ist der Standardwert S9Q voreingestellt, es ist jedoch möglich, einen beliebigen Meldungsschlüssel anzugeben, wodurch beliebige Einträge in das Systemprotokoll (SM21) geschrieben werden können.Lösung
SAP hat den SAP-Hinweis 3351410 veröffentlicht, der gepatchte Versionen der betroffenen Komponenten enthält. Die Patches können heruntergeladen werden unter https://me.sap.com/notes/3351410. Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitspatches herunterzuladen und auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken zu minimieren.Zeitachse des Berichts
- 13.04.2022: Onapsis übermittelt Daten an SAP
- 22.04.2022: SAP bittet um weitere Informationen
- 02.05.2022: Onapsis stellt die angeforderten Informationen zur Verfügung
- 01.06.2022: SAP lehnt den Antrag ab
- 02.06.2022: Onapsis bittet darum, dies unter Berücksichtigung weiterer Zusammenhänge noch einmal zu prüfen
- 22.06.2022: SAP lehnt den Antrag weiterhin ab
- 28.06.2023: Onapsis spricht das Problem auf einer Sicherheitskonferenz an
- 11.07.2023: SAP veröffentlicht einen SAP-Hinweis, der das Problem behebt.
Literaturverzeichnis
- Onapsis-Blogbeitrag: https://onapsis.com/blog/sap-security-patch-day-july-2023/
- CVE Mitre: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-36924
- Hersteller-Patch: https://me.sap.com/notes/3351410
Hinweise
- Veröffentlichungsdatum: 18.07.25
- Sicherheitshinweis-ID: ONAPSIS-2024-0012
- Forscher: Yvan Genuer
Informationen zur Sicherheitslücke
- Anbieter: SAP
- Betroffene Komponenten:
- SAP Enterprise Extension: Streitkräfte und öffentliche Sicherheit
- EA-DFPS 605 Patch 22 und früher
- EA-DFPS 606 Patch 31 und früher
- EA-DFPS 617 Patch 26 und früher
- EA-DFPS 618 Patch 19 und früher
- EA-DFPS 802 Patch 12 und früher
- EA-DFPS 803 Patch 10 und früher
- EA-DFPS 804 Patch 08 und früher
- EA-DFPS 805 Patch 06 und früher
- EA-DFPS 806 Patch 04 und früher
- EA-DFPS 807 Patch 02 und früher (Ausführliche Informationen zu den betroffenen Releases finden Sie im SAP-Hinweis 3351410)
- Schwachstellenklasse: CWE-779
- CVSS v3-Bewertung: 4,9 AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N
- Risikostufe: Mittel
- Zugewiesene CVE-Nummer: CVE-2023-36924
- Informationen zum Hersteller-Patch: SAP-Sicherheitshinweis 3351410