Auswirkungen auf die Wirtschaft
Ein Angreifer kann nacheinander Download-Links generieren, die auf Dateien im Verzeichnis „impex“ abzielen. Dadurch kann er die meisten dieser Dateien herunterladen und so möglicherweise kritische Hybris-Informationen wie Anmeldedaten offenlegen.Betroffene Komponenten – Beschreibung
SAP Hybris ist eine platform für eine Reihe von Produkten im Bereich Kundenerlebnis und -management eingesetzt wird. Das Modul „Medias“ sorgt dafür, dass Benutzer Dateien sicher in das System hochladen und darauf zugreifen können. Betroffene Komponenten:- SAP Hybris E-Commerce 1808
- SAP Hybris E-Commerce 1811
- SAP Hybris E-Commerce 1905
- SAP Hybris E-Commerce 2005
Details zur Sicherheitslücke
Wenn eine Datei über das Modul „medias“ in Hybris hochgeladen wird, wird ein Teil des Zielpfads anhand der vom Benutzer bereitgestellten Informationen und einiger anderer statischer Kontextdaten, die von Hybris gespeichert werden, generiert. Der vom Benutzer kontrollierte Teil ist der einzige, der sich bei den hochgeladenen Dateien ändert, und daher ist es möglich, Download-Links nacheinander zu generieren (Brute-Force-Angriff), um auf zuvor hochgeladene Dateien zuzugreifen. Unter diesen Dateien lassen sich kritische Dateien finden, beispielsweise solche im Verzeichnis „impex“.Lösung
SAP hat den SAP-Hinweis 2975189 veröffentlicht, der gepatchte Versionen der betroffenen Komponenten enthält. Die Patches können heruntergeladen werden unter https://launchpad.support.sap.com/#/notes/2975189 Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitspatches herunterzuladen und auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken zu minimieren.Zeitachse des Berichts
- 25.08.2020: Onapsis übermittelt SAP detaillierte Informationen
- 25.08.2020: SAP stellt SR-ID bereit
- 09.09.2020: SAP gibt ein Update heraus: „Die Sicherheitslücke wird derzeit behoben“
- 12.10.2020: SAP gibt ein Update heraus: „Behebung in Arbeit“
- 09.02.2021: SAP veröffentlicht einen SAP-Hinweis zur Behebung des Problems. Die Sicherheitslücke ist nun geschlossen.
QUELLENANGABEN
- Onapsis-Blogbeitrag: https://onapsis.com/blog/sap-security-notes-november-2020
- CVE Mitre: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26809
- Hersteller-Patch: https://launchpad.support.sap.com/#/notes/2975189
Hinweise
- Veröffentlichungsdatum: 14.06.2021
- Sicherheitshinweis-ID: ONAPSIS-2021-0007
- ID der gemeldeten Sicherheitslücke: 843
- Forscher: Gaston Traberg
Informationen zur Sicherheitslücke
- Anbieter: SAP
- Sicherheitslücke: |LS|CWE-200|RS| Offenlegung vertraulicher Informationen gegenüber einem unbefugten Akteur
- CVSS v3-Wert: 7,5 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
- Schweregrad: Hoch
- CVE: CVE-2020-26809
- Informationen zum Hersteller-Patch: SAP-Sicherheitshinweis 2975189
ÜBER UNSERE FORSCHUNGSLABORE Onapsis Research Labs bietet eine Branchenanalyse der wichtigsten Sicherheitsprobleme, die sich auf geschäftskritische Systeme und Anwendungen auswirken. Onapsis Research Labs veröffentlichen regelmäßig aktuelle Sicherheits- und Compliance-Hinweise mit entsprechenden Risikoeinstufungen und Onapsis Research Labs fundiertes Fachwissen und Erfahrung, um der breiteren Informationssicherheits-Community technische und geschäftliche Einblicke mit fundierten Sicherheitsbeurteilungen zu liefern. Alle gemeldeten Sicherheitslücken finden Sie unter https://github.com/Onapsis/vulnerability_advisories Dieser Hinweis unterliegt einer Creative Commons 4.0 BY-ND International-Lizenz