Auswirkungen auf die Wirtschaft
Ein böswilliger, authentifizierter Angreifer könnte bestimmte Dienste missbrauchen, die vom SAP Java NetWeaver bereitgestellt werden, um Befehle im zugrunde liegenden Betriebssystem auszuführen.Betroffene Komponenten – Beschreibung
SAP NetWeaver JAVA ist eine Basisschicht, die von verschiedenen SAP-Produkten genutzt wird, darunter:- SAP Enterprise Portal
- SAP Solution Manager
- SAP PI/PO
- SAP-Landschaftsmanager
- unter anderem.
- SAP NetWeaver Java Version 7.30 – 7.50
Details zur Sicherheitslücke
Ein bestimmter Teil (UDDI SERVER) der SAP Java NetWeaver-Schicht stellt eine Funktion bereit, die es authentifizierten Angreifern ermöglicht, Ressourcen hochzuladen. Insbesondere sind mindestens die NWA_SUPERADMIN-Berechtigungen erforderlich, um den Upload-Prozess nutzen zu können. Aufgrund fehlender Kontrollen werden diese Dateien nicht überprüft, sodass beliebige Dateitypen hochgeladen werden könnten, was die Möglichkeit zur Ausführung von Befehlen im zugrunde liegenden Betriebssystem zur Folge hat.Lösung
SAP hat den SAP-Hinweis Nr. 2979062 veröffentlicht, der gepatchte Versionen der betroffenen Komponenten enthält. Die Patches können unter folgender Adresse heruntergeladen werden: https://service.sap.com/sap/support/notes/2979062. Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitspatches herunterzuladen und auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken zu minimieren.Zeitachse des Berichts
- 10.05.2020: Onapsis übermittelt Daten an SAP
- 10.05.2020: SAP stellt interne IDs zur Verfügung.
- 10.12.2020: SAP bestätigt die Sicherheitslücke und weist ihr einen CVSSv3-Wert von 9,1 zu (NLHN|C|HHH)
- 11.10.2020: SAP veröffentlicht einen Patch.
QUELLENANGABEN
- Onapsis-Blogbeitrag: https://onapsis.com/blog/sap-security-notes-november-2020
- CVE Mitre: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26820
- Hersteller-Patch:https://launchpad.support.sap.com/#/notes/2979062
Hinweise
- Veröffentlichungsdatum: 19.03.2021
- Sicherheitshinweis-ID: ONAPSIS-2021-0004
- ID der gemeldeten Sicherheitslücke: 847
- Forscher: Pablo Artuso
Informationen zur Sicherheitslücke
- Anbieter: SAP
- Sicherheitslücke: |LS|CWE-434|RS| Uneingeschränkter Upload von Dateien mit gefährlichem Typ
- CVSS v3-Bewertung: 9,1 (AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)
- Schweregrad:Kritisch
- CVE:CVE-2020-26820
- Informationen zum Hersteller-Patch: SAP-Sicherheitshinweis Nr. 2979062
ÜBER UNSERE FORSCHUNGSLABORE Onapsis Research Labs bietet Branchenanalysen zu zentralen Sicherheitsfragen, die sich auf geschäftskritische Systeme und Anwendungen auswirken. Onapsis Research Labs veröffentlichen regelmäßig aktuelle Sicherheits- und Compliance-Hinweise mit entsprechenden Risikoeinstufungen und Onapsis Research Labs fundiertes Fachwissen und langjährige Erfahrung, um der breiteren Informationssicherheits-Community technische und geschäftliche Einblicke sowie fundierte Sicherheitsbeurteilungen zu liefern. Alle gemeldeten Sicherheitslücken finden Sie unter https://github.com/Onapsis/vulnerability_advisories LIZENZ Dieser Hinweis unterliegt einer Creative Commons 4.0 BY-ND International-Lizenz