Auswirkungen auf die Wirtschaft
Durch Ausnutzen einer Code-Injection in SAP MII könnte ein authentifizierter Benutzer mit SAP-XMII-Entwicklerrechten Code (einschließlich Betriebssystembefehle) auf dem Server ausführen. Damit wäre er in der Lage, alle Aktionen auszuführen, die auch ein SAP-Administrator ausführen kann. Zu den möglichen Aktionen gehören:- Zugriff auf die SAP-Datenbanken sowie das Lesen, Ändern und Löschen beliebiger Datensätze in beliebigen Tabellen
- Verwenden Sie diese Server, um zu anderen Servern zu wechseln
- Malware platzieren, um Endnutzer später zu infizieren
- Netzwerkkonfigurationen ändern und dadurch möglicherweise interne Netzwerke beeinträchtigen
Betroffene Komponenten – Beschreibung
SAP MII ist eine auf SAP NetWeaver AS Java basierende platform eine Echtzeit-Produktionsüberwachung ermöglicht und umfangreiche Tools zur Datenanalyse bereitstellt. Sie fungiert als Datenknotenpunkt zwischen SAP ERP und operativen Anwendungen wie Fertigungssteuerungssystemen (MES). Die Software erfasst Daten von Produktionsanlagen und liefert Echtzeit-Einblicke in deren Leistung und Effizienz. Betroffene Komponenten:- XMII 15.1 liegt unter SP006 PL 000062
- XMII 15.2 liegt unter SP003 PL 000038
- XMII 15,3 unterhalb von SP001 PL 000022
- XMII 15,4 unterhalb von SP001 PL 000007
Details zur Sicherheitslücke
Ein wesentlicher Bestandteil von SAP MII ist die Self-Service Composition Environment (SSCE), mit der Dashboards per einfachem Drag-and-Drop gestaltet werden können. Diese Funktion zur Dashboard-Erstellung führt einige clientseitige Validierungen durch, die im Backend nicht erneut durchgeführt werden. Diese Situation könnte es einem Angreifer ermöglichen, eine bösartige Anfrage mit ausführbarem Code zu erstellen, der auf dem Server gespeichert wird. Wenn ein solches infiziertes Dashboard in der Produktionsumgebung von einem Benutzer mit minimalen Berechtigungen geöffnet wird, wird der bösartige Inhalt ausgeführt, was zu einer Remote-Code-Ausführung auf dem Server führt.Lösung
SAP hat den SAP-Hinweis Nr. 3022622 veröffentlicht, der gepatchte Versionen der betroffenen Komponenten enthält. Die Patches können heruntergeladen werden unter https://launchpad.support.sap.com/#/notes/2983204. Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitspatches herunterzuladen und auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken zu minimieren.Zeitachse des Berichts
- 02.01.2021: Onapsis übermittelt Daten an SAP
- 02.04.2021: SAP stellt interne ID bereit
- 08.02.2021: SAP gibt folgenden Status bekannt: „In Bearbeitung“
- 08.03.2021: SAP veröffentlicht Update: Sicherheitslücke behoben – SAP-Sicherheitshinweis veröffentlicht: 3022622
QUELLENANGABEN
- Onapsis-Blogbeitrag: https://onapsis.com/blog/sap-security-notes-march-2021
- CVE Mitre: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21480
- Hersteller-Patch:https://launchpad.support.sap.com/#/notes/3022622
Hinweise
- Veröffentlichungsdatum: 14.06.2021
- Sicherheitshinweis-ID: ONAPSIS-2021-0012
- ID der gemeldeten Sicherheitslücke: 872
- Forscher: Nicolas Raus
Informationen zur Sicherheitslücke
- Anbieter: SAP
- Sicherheitslücke: |LS|CWE-94|RS| Unsachgemäße Control Codegenerierung („Code-Injection“)
- CVSS v3-Bewertung: 9,9 (AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)
- Schweregrad: Kritisch
- CVE: CVE-2021-21480
- Informationen zum Hersteller-Patch: SAP-Sicherheitshinweis 3022622
ÜBER UNSERE FORSCHUNGSLABORE Onapsis Research Labs bietet eine Branchenanalyse der wichtigsten Sicherheitsprobleme, die sich auf geschäftskritische Systeme und Anwendungen auswirken. Onapsis Research Labs veröffentlichen regelmäßig aktuelle Sicherheits- und Compliance-Hinweise mit entsprechenden Risikoeinstufungen und Onapsis Research Labs fundiertes Fachwissen und Erfahrung, um der breiteren Informationssicherheits-Community technische und geschäftliche Einblicke mit fundierten Sicherheitsbeurteilungen zu liefern. Alle gemeldeten Sicherheitslücken finden Sie unter https://github.com/Onapsis/vulnerability_advisories Dieser Hinweis unterliegt einer Creative Commons 4.0 BY-ND International-Lizenz