Fehlende Berechtigungsprüfung in der SAP SolMan-Erfahrungsüberwachung
14. Juni 2021
Auswirkungen auf die Wirtschaft
Jeder authentifizierte Benutzer des Solution Managers kann EEM-Skripte erstellen, hochladen und auf den SMDAgents ausführen, was sich auf deren Integrität, Vertraulichkeit und Verfügbarkeit auswirkt.Betroffene Komponenten – Beschreibung
SAP SolMan 7.2 führt eine Reihe von Webservices ein, die auf dem SAP Java NetWeaver-Stack laufen. In den betroffenen Versionen ist ein anfälliger Webservice verfügbar. Betroffene Komponenten:- Solman 7.20
- Solman Java Stack NW 7.5
- LM-SERVICE: 1000.7.20.9.14.20200731160700
Details zur Sicherheitslücke
Das Hauptziel der Anwendung „End-User Enterprise Monitoring“ (EEM) besteht darin, Skripte hochzuladen, die Benutzeraktionen nachahmen, um verschiedene Arten von Tests automatisch durchführen zu können. Dieser Vorgang ist für SAP-Administratoren vorgesehen, die ihre Instanzen überwachen möchten. Da jedoch keine Berechtigungsprüfung stattfindet, kann jeder berechtigte Benutzer aus dem Solution Manager diese Anwendung uneingeschränkt nutzen. Mit anderen Worten: Jeder berechtigte Benutzer kann ein eigenes Skript erstellen, es hochladen und dessen Ausführung durch einen beliebigen SMD-Agenten erzwingen. Zu den Aufgaben, die durchgeführt werden können, gehören:- Ausführung beliebiger HTTP-Anfragen durch den SMD-Agenten.
- Offenlegung sensibler Inhalte.
- Ressourcenverbrauch bestimmter Dienste.
Lösung
SAP hat den SAP-Hinweis Nr. 2983204 veröffentlicht, der gepatchte Versionen der betroffenen Komponenten enthält. Die Patches können heruntergeladen werden unter https://launchpad.support.sap.com/#/notes/2983204. Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitspatches herunterzuladen und auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken zu minimieren.Zeitachse des Berichts
- 05.10.2020 – Onapsis übermittelt Daten an SAP
- 05.10.2020 – SAP stellt eine Sendungsverfolgungsnummer zur Verfügung.
- 12.10.2020 – SAP gibt ein Update bekannt: „Behebung in Arbeit“
- 09.11.2020 – SAP gibt einen aktuellen Stand bekannt: „In Bearbeitung“
- 30.11.2020 – SAP schlägt vor, die ursprüngliche Meldung in zwei separate Sicherheitslücken aufzuteilen.
- 02.12.2020 – Onapsis stimmt einer Aufteilung des Antrags zu.
- 08.12.2020 – SAP veröffentlicht einen Hinweis.
QUELLENANGABEN
- Onapsis-Blogbeitrag: https://onapsis.com/blog/sap-security-notes-december-2020
- CVE Mitre: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26837
- Hersteller-Patch: https://launchpad.support.sap.com/#/notes/2983204.
Hinweise
- Veröffentlichungsdatum: 14.06.2021
- Sicherheitshinweis-ID: ONAPSIS-2021-0011
- ID der gemeldeten Sicherheitslücke: 846
- Forscher: Pablo Artuso, Gonzalo Roisman
Informationen zur Sicherheitslücke
- Anbieter: SAP
- Sicherheitslücke: |LS|CWE-862|RS| Fehlende Autorisierung
- CVSS v3-Bewertung: 7,6 AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L
- Schweregrad: Hoch
- CVE: CVE-2020-26830
- Informationen zum Hersteller-Patch: SAP-Sicherheitshinweis 2983204
ÜBER UNSERE FORSCHUNGSLABORE Onapsis Research Labs bietet eine Branchenanalyse der wichtigsten Sicherheitsprobleme, die sich auf geschäftskritische Systeme und Anwendungen auswirken. Onapsis Research Labs veröffentlichen regelmäßig aktuelle Sicherheits- und Compliance-Hinweise mit entsprechenden Risikoeinstufungen und Onapsis Research Labs fundiertes Fachwissen und Erfahrung, um der breiteren Informationssicherheits-Community technische und geschäftliche Einblicke mit fundierten Sicherheitsbeurteilungen zu liefern. Alle gemeldeten Sicherheitslücken finden Sie unter https://github.com/Onapsis/vulnerability_advisories Dieser Hinweis unterliegt einer Creative Commons 4.0 BY-ND International-Lizenz