SAP Host Agent – SAPOscol-Namensraum – Fehlende Authentifizierung
18. Juli 2025
SAP Host Agent – SAPOscol-Namensraum – Fehlende Authentifizierung
Auswirkungen auf die Wirtschaft
Erfolgreiche Angriffe führen zur Offenlegung von Informationen und erweitern zudem die Handlungsmöglichkeiten des Angreifers.Betroffene Komponenten – Beschreibung
Der SAP Host Agent kann verschiedene Aufgaben im Lebenszyklus übernehmen, darunter: Betriebssystemüberwachung, Datenbanküberwachung, control der Systeminstanz control Vorbereitung von Upgrades. Er wird bei der Installation des neuen SAP-Systems automatisch installiert und ist eine betriebssystemunabhängige und obligatorische Anwendung.Details zur Sicherheitslücke
Der Parameter „service/localconnection“ deaktiviert die Authentifizierung für den SAP Start Service, wenn er auf den Wert „compat“ gesetzt ist. Die meisten von diesem Dienst bereitgestellten Webmethoden prüfen zudem die Berechtigung und lehnen Anfragen ab, wenn diese von einem anonymen Benutzer gestellt werden. Einige wenige Methoden führen jedoch keine Berechtigungsprüfung durch. Diese können aus der Ferne und anonym aufgerufen werden. Dazu gehören unter anderem:- SAPOscol: GetVersion
- SAPOscol: GetOsData
- SAPOscol: GetHwConfXML
- SAPOscol: GetHwConfText
- SAPHostControl: GetComputerSystem
- SAPHostControl: Datenbanken auflisten
Lösung
SAP hat den SAP-Hinweis 3358328 veröffentlicht, der gepatchte Versionen der betroffenen Komponenten enthält. Die Patches können heruntergeladen werden unter https://me.sap.com/notes/3358328. Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitspatches herunterzuladen und auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken zu minimieren.Zeitachse des Berichts
- 28.10.2022: Onapsis übermittelt Daten an SAP
- 03.11.2022: SAP lehnt den Antrag ab
- 03.11.2022: Onapsis bittet höflich darum, die Entscheidung noch einmal zu überdenken
- 01.05.2023: SAP lehnt den Antrag ab
- 20.01.2023: Onapsis bittet darum, den Antrag mit weiteren Informationen erneut zu prüfen
- 31.01.2023: SAP lehnt den Vorschlag weiterhin ab, plant jedoch die Veröffentlichung eines Hinweises, in dem das damit verbundene Sicherheitsrisiko dokumentiert wird
- 31.01.2023: Onapsis stimmte zu, sofern die Dokumentation hinsichtlich der Risiken eindeutig war
- 15.06.2023: Onapsis bittet um die Unterlagen
- 07.04.2023: Onapsis bittet um die Unterlagen
- 08.08.2023: SAP veröffentlicht einen SAP-Hinweis zur Behebung des Problems
Literaturverzeichnis
- Onapsis-Blogbeitrag: https://onapsis.com/blog/sap-security-patch-day-august-2023/
- CVE Mitre: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-36926
- Hersteller-Patch: https://me.sap.com/notes/3358328
Hinweise
- Veröffentlichungsdatum: 18.07.25
- Sicherheitshinweis-ID: ONAPSIS-2024-0014
- Forscher: Yvan Genuer
Informationen zur Sicherheitslücke
- Anbieter: SAP
- Betroffene Komponenten:
- SAP Host Agent 7.22
- SAPHOSTAGENT 7.22 SP060 und früher (Ausführliche Informationen zu den betroffenen Releases finden Sie im SAP-Hinweis 3358328)
- Schwachstellenklasse: CWE-287 CWE-200
- CVSS v3-Wert: 3,7 AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
- Risikostufe: Niedrig
- Zugewiesene CVE-Nummer: CVE-2023-36926
- Informationen zum Hersteller-Patch: SAP-Sicherheitshinweis 3358328