SAP Hybris E-Commerce: SSRF im Acceleratorservices-Modul

14. Juni 2021

Auswirkungen auf die Wirtschaft

Das SAP-Hybris-Accelerator-Services-Modul ist anfällig für serverseitige Request-Forgery, was bedeutet, dass ein authentifizierter Angreifer POST-Anfragen an jede gültige URL senden kann.

Betroffene Komponenten – Beschreibung

SAP Hybris ist eine platform für eine Reihe von Produkten im Bereich Customer Experience und Management eingesetzt wird. Die Erweiterung „acceleratorservices“ stellt ein Zahlungsgateway-Mock bereit, das in den Checkout-Prozess des Accelerator-Storefronts integriert ist. Betroffene Komponenten:
  • SAP Hybris E-Commerce 1808
  • SAP Hybris E-Commerce 1811
  • SAP Hybris E-Commerce 1905
  • SAP Hybris E-Commerce 2005
(Ausführliche Informationen zu den betroffenen Releases finden Sie im SAP-Hinweis 2975170)

Details zur Sicherheitslücke

In den SAP-Hybris-Accelerator-Services besteht eine Schwachstelle für Server-Side Request Forgery ohne Authentifizierung. Das bedeutet, dass jeder, der auf diese Erweiterung zugreift, sie nutzen kann, um beliebige HTTP-Anfragen zu stellen und dabei Netzwerkeinschränkungen zu umgehen. Dieselbe Schwachstelle kann ausgenutzt werden, um eine selbstreferenzierende Anfrage zu stellen, die in einer Endlosschleife läuft, alle Speicherressourcen aufbraucht und den Dienst bis zum Neustart blockiert (Denial-of-Service).

Lösung

SAP hat den SAP-Hinweis 2975170 veröffentlicht, der gepatchte Versionen der betroffenen Komponenten enthält. Die Patches können heruntergeladen werden unter https://launchpad.support.sap.com/#/notes/2975170 Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitspatches herunterzuladen und auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken zu minimieren.

Zeitachse des Berichts

  • 25.08.2020: Onapsis übermittelt SAP detaillierte Informationen
  • 25.08.2020: SAP stellt SR-ID bereit
  • 09.09.2020: SAP gibt ein Update heraus: „Die Sicherheitslücke wird derzeit behoben“
  • 12.10.2020: SAP gibt ein Update heraus: „Behebung in Arbeit“
  • 10.11.2021: SAP veröffentlicht einen SAP-Hinweis zur Behebung des Problems. Die Sicherheitslücke ist nun geschlossen.
QUELLENANGABEN

Hinweise

  • Veröffentlichungsdatum: 14.06.2021
  • Sicherheitshinweis-ID: ONAPSIS-2021-0007
  • ID der gemeldeten Sicherheitslücke: 843
  • Forscher: Gaston Traberg

Informationen zur Sicherheitslücke

  • Anbieter: SAP
  • Sicherheitslücke: |LS|CWE-200|RS| Offenlegung vertraulicher Informationen gegenüber einem unbefugten Akteur
  • CVSS v3-Wert: 7,5 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
  • Schweregrad: Hoch
  • CVE: CVE-2020-26809
  • Informationen zum Hersteller-Patch: SAP-Sicherheitshinweis 2975189
ÜBER UNSERE FORSCHUNGSLABORE Onapsis Research Labs bietet eine Branchenanalyse der wichtigsten Sicherheitsprobleme, die sich auf geschäftskritische Systeme und Anwendungen auswirken. Onapsis Research Labs veröffentlichen regelmäßig aktuelle Sicherheits- und Compliance-Hinweise mit entsprechenden Risikoeinstufungen und Onapsis Research Labs fundiertes Fachwissen und Erfahrung, um der breiteren Informationssicherheits-Community technische und geschäftliche Einblicke mit fundierten Sicherheitsbeurteilungen zu liefern. Alle gemeldeten Sicherheitslücken finden Sie unter https://github.com/Onapsis/vulnerability_advisories Dieser Hinweis unterliegt einer Creative Commons 4.0 BY-ND International-Lizenz

Auswirkungen auf die Wirtschaft

Das SAP-Hybris-Accelerator-Services-Modul ist anfällig für serverseitige Request-Forgery, was bedeutet, dass ein authentifizierter Angreifer POST-Anfragen an jede gültige URL senden kann.

Betroffene Komponenten – Beschreibung

SAP Hybris ist eine platform für eine Reihe von Produkten im Bereich Customer Experience und Management eingesetzt wird. Die Erweiterung „acceleratorservices“ stellt ein Zahlungsgateway-Mock bereit, das in den Checkout-Prozess des Accelerator-Storefronts integriert ist. Betroffene Komponenten:
  • SAP Hybris E-Commerce 1808
  • SAP Hybris E-Commerce 1811
  • SAP Hybris E-Commerce 1905
  • SAP Hybris E-Commerce 2005
(Ausführliche Informationen zu den betroffenen Releases finden Sie im SAP-Hinweis 2975170)

Details zur Sicherheitslücke

In den SAP-Hybris-Accelerator-Services besteht eine Schwachstelle für Server-Side Request Forgery ohne Authentifizierung. Das bedeutet, dass jeder, der auf diese Erweiterung zugreift, sie nutzen kann, um beliebige HTTP-Anfragen zu stellen und dabei Netzwerkeinschränkungen zu umgehen. Dieselbe Schwachstelle kann ausgenutzt werden, um eine selbstreferenzierende Anfrage zu stellen, die in einer Endlosschleife läuft, alle Speicherressourcen aufbraucht und den Dienst bis zum Neustart blockiert (Denial-of-Service).

Lösung

SAP hat den SAP-Hinweis 2975170 veröffentlicht, der gepatchte Versionen der betroffenen Komponenten enthält. Die Patches können heruntergeladen werden unter https://launchpad.support.sap.com/#/notes/2975170 Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitspatches herunterzuladen und auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken zu minimieren.

Zeitachse des Berichts

  • 25.08.2020: Onapsis übermittelt SAP detaillierte Informationen
  • 25.08.2020: SAP stellt SR-ID bereit
  • 09.09.2020: SAP gibt ein Update heraus: „Die Sicherheitslücke wird derzeit behoben“
  • 12.10.2020: SAP gibt ein Update heraus: „Behebung in Arbeit“
  • 10.11.2021: SAP veröffentlicht einen SAP-Hinweis zur Behebung des Problems. Die Sicherheitslücke ist nun geschlossen.
QUELLENANGABEN

Hinweise

  • Veröffentlichungsdatum: 14.06.2021
  • Sicherheitshinweis-ID: ONAPSIS-2021-0007
  • ID der gemeldeten Sicherheitslücke: 843
  • Forscher: Gaston Traberg

Informationen zur Sicherheitslücke

  • Anbieter: SAP
  • Sicherheitslücke: |LS|CWE-200|RS| Offenlegung vertraulicher Informationen gegenüber einem unbefugten Akteur
  • CVSS v3-Wert: 7,5 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
  • Schweregrad: Hoch
  • CVE: CVE-2020-26809
  • Informationen zum Hersteller-Patch: SAP-Sicherheitshinweis 2975189
ÜBER UNSERE FORSCHUNGSLABORE Onapsis Research Labs bietet eine Branchenanalyse der wichtigsten Sicherheitsprobleme, die sich auf geschäftskritische Systeme und Anwendungen auswirken. Onapsis Research Labs veröffentlichen regelmäßig aktuelle Sicherheits- und Compliance-Hinweise mit entsprechenden Risikoeinstufungen und Onapsis Research Labs fundiertes Fachwissen und Erfahrung, um der breiteren Informationssicherheits-Community technische und geschäftliche Einblicke mit fundierten Sicherheitsbeurteilungen zu liefern. Alle gemeldeten Sicherheitslücken finden Sie unter https://github.com/Onapsis/vulnerability_advisories Dieser Hinweis unterliegt einer Creative Commons 4.0 BY-ND International-Lizenz
Zurück zu den Hinweisen

Weiterführende Literatur

Hinweis

SAP BEx – Denial-of-Service-Angriffe und willkürliche Änderung/Löschung von Favoriten

SAP BEx – Denial-of-Service und willkürliche Änderung/Löschung von Favoriten – Auswirkungen auf den Geschäftsbetrieb Ein authentifizierter Angreifer kann einen Denial-of-Service-Zustand für andere Benutzer herbeiführen und diese daran hindern, über das SAP GUI auf das System zuzugreifen. Darüber hinaus kann der Angreifer benutzerspezifische Favoritenknoten ändern oder löschen, was zu Betriebsstörungen und dem Verlust von Komfortfunktionen für die betroffenen…

Weiterlesen
Hinweis

Denial-of-Service-Angriffe und willkürliche Änderung/Löschung von Favoriten

Auswirkungen von Denial-of-Service-Angriffen und der willkürlichen Änderung bzw. Löschung von Favoriten auf den Geschäftsbetrieb Ein authentifizierter Angreifer kann einen Denial-of-Service-Zustand für andere Benutzer herbeiführen und diese daran hindern, über das SAP GUI auf das System zuzugreifen. Darüber hinaus kann der Angreifer benutzerspezifische Favoritenknoten ändern oder löschen, was zu Betriebsstörungen und dem Verlust von Komfortfunktionen für die betroffenen Geschäftsanwender führt….

Weiterlesen
Hinweis

Offene Weiterleitung im SAP HANA XSA UAA-Server

Auswirkungen der „Open Redirect“-Sicherheitslücke im SAP HANA XSA UAA Server auf den Geschäftsbetrieb Die „Open Redirect“-Sicherheitslücke ermöglicht es Angreifern, Benutzer auf beliebige Websites umzuleiten und Phishing-Angriffe durchzuführen. Die Phisher können dann die Anmeldedaten der Opfer oder andere wichtige Daten stehlen, die in weiteren Angriffsketten genutzt werden können. Dies hat begrenzte Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der…

Weiterlesen