SAP Host Agent – Offenlegung von Anmeldedaten über Protokolldateien
17. Juli 2025
SAP Host Agent – Offenlegung von Anmeldedaten über Protokolldateien
Auswirkungen auf die Wirtschaft
Durch Ausnutzung dieser Sicherheitslücke kann ein böswilliger Benutzer mit geringen Berechtigungen die SDA-Anmeldedaten (sapadm) sowie einige technische SAP-NetWeaver-Anmeldedaten (wie FRN_DPC_SID oder FRN_CSA_SID) abgreifen und diese anschließend verwenden, um sich bei SAP NetWeaver oder im SDA anzumelden und böswillige oder sensible Aktionen durchzuführen.Betroffene Komponenten – Beschreibung
Der SAP Host Agent kann verschiedene Aufgaben im Lebenszyklus übernehmen, darunter: Betriebssystemüberwachung, Datenbanküberwachung, control der Systeminstanz control Vorbereitung von Upgrades. Er wird bei der Installation des neuen SAP-Systems automatisch installiert und ist eine betriebssystemunabhängige und obligatorische Anwendung.Details zur Sicherheitslücke
Wenn die Trace-Stufe des Host-Agents auf 3 gesetzt ist, werden alle Header aus HTTP-Anfragen in /usr/sap/hostctrl/work/sapstartsrv.log einschließlich Berechtigung: Header. Die Sicherheitslücke besteht sowohl am HTTP-Port (1128) als auch am HTTPS-Port (1129). Die Protokolldatei ist für jeden Benutzer der Gruppe „sapsys“ im Betriebssystem lesbar.Lösung
SAP hat den SAP-Hinweis 3158188 veröffentlicht, der gepatchte Versionen der betroffenen Komponenten enthält. Die Patches können heruntergeladen werden unter https://launchpad.support.sap.com/#/notes/3158188. Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitspatches herunterzuladen und auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken zu minimieren.Zeitachse des Berichts
- 28.01.2022: Onapsis übermittelt Daten an SAP
- 12.04.2022: SAP gibt Update bekannt: In Bearbeitung
- 10.05.2022: SAP veröffentlicht einen SAP-Hinweis, der das Problem behebt.
Literaturverzeichnis
- Onapsis-Blogbeitrag: https://onapsis.com/blog/sap-security-patch-day-may-2022-spring4shell-vulnerabi Sicherheitslücke-in-sechs-SAP-Anwendungen-wurde-behoben
- CVE Mitre: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28774
- Hersteller-Patch: https://launchpad.support.sap.com/#/notes/3158188
Hinweise
- Veröffentlichungsdatum: 17.07.25
- Sicherheitshinweis-ID: ONAPSIS-2024-0008
- Forscher: Yvan Genuer
Informationen zur Sicherheitslücke
- Anbieter: SAP
- Betroffene Komponenten:
- SAP HOST AGENT 7.22 Patch 54 und früher (Ausführliche Informationen zu den betroffenen Releases finden Sie im SAP-Hinweis 3158188)
- Schwachstellenklasse: CWE-532 CWE-522
- CVSS v3-Wert: 5,3 AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:N/A:N
- Risikostufe: Mittel
- Zugewiesene CVE-Nummer: CVE-2022-28774
- Informationen zum Hersteller-Patch: SAP-Sicherheitshinweis 3158188