SAPStartSrv – Pufferüberlauf bei der Vorabautorisierung

23. Juli 2025

SAPStartSrv – Pufferüberlauf bei der Vorabautorisierung

Auswirkungen auf die Wirtschaft

  • Wenn der Parameter service/localconnection = compat :
Ein nicht authentifizierter Angreifer könnte dies aus der Ferne nutzen, um auf Betriebssystemebene beliebige Befehle als NT-System- oder Root-Benutzer auszuführen.
  • Wenn der Parameter service/localconnection nicht gesetzt ist:
Lokal könnte ein authentifizierter Angreifer mit geringen Berechtigungen diese Schwachstelle ausnutzen, um auf Betriebssystemebene beliebige Befehle als Administrator auszuführen, was zu einer Ausweitung der Berechtigungen führen könnte.
  • Beide Szenarien führen dazu, dass alle auf dem Zielhost laufenden SAP-Systeme vollständig kompromittiert werden.

Details zur Sicherheitslücke

Der SAP-Startdienst, der auf den Ports 1128 (HTTP) und 1129 (HTTPS) lauscht, ermöglicht nicht authentifizierten Benutzern den Zugriff auf mehrere SOAP-Methoden unter dem Namensraum „SAPOsCol“. Zwei davon, „SendRequestAsync“ und „SendRequest“, verarbeiten den Parameternamen nicht korrekt, wenn eine bestimmte Anforderungs-ID aufgerufen wird. Tatsächlich besteht durch diesen Methodenaufruf eine Sicherheitslücke in Form einer Speicherbeschädigung (Stack-basierter Pufferüberlauf) in der Binärdatei „saposcol“.
  • Der Absturz tritt während einer RET-Mnemonik mit kontrolliertem RSP-Register auf.
  • Für diese Version von saposcol ist nur die Sicherheitsfunktion NX aktiviert:
  • Über die SOAP-Methode „GetHwConfText“ lässt sich die libc-Version ermitteln.
  • Mit derselben Methode „GetHwConfText“ lässt sich auch ASLR umgehen, da das Ergebnis die aktuelle RIP-Adresse der laufenden saposcol-Binärdatei preisgibt.

Lösung

SAP hat den SAP-Hinweis 3275727 veröffentlicht, der gepatchte Versionen der betroffenen Komponenten enthält. Die Patches können heruntergeladen werden unter https://me.sap.com/notes/3285757. Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitspatches herunterzuladen und auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken zu minimieren.

Zeitachse des Berichts

  • 21.11.2022: Onapsis übermittelt Daten an SAP
  • 30.11.2022: SAP bittet um Klarstellung
  • 01.12.2022: Onapsis liefert weitere Erläuterungen
  • 07.12.2022: SAP bittet um Klarstellung
  • 08.12.2022: Onapsis liefert weitere Erläuterungen
  • 24.02.2023: SAP senkt den CVSS-Wert
  • 14.03.2023: SAP veröffentlicht einen SAP-Hinweis zur Behebung des Problems

Literaturverzeichnis

Zurück zu den Hinweisen

Hinweise

  • Veröffentlichungsdatum: 23.07.25
  • Sicherheitshinweis-ID: ONAPSIS-2024-0017
  • Forscher: Yvan Genuer

Informationen zur Sicherheitslücke

  • Anbieter: SAP
  • Betroffene Komponenten: SAP Host Agent
    • SAPHOSTAGENT 7.22 SP058 und früher (Ausführliche Informationen zu den betroffenen Releases finden Sie im SAP-Hinweis 3275727)
  • Schwachstellenklasse: CWE-121
  • CVSS v3-Bewertung: 9,0 AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Risikostufe: Kritisch
  • Zugewiesene CVE-Nummer: CVE-2023-27498
  • Informationen zum Hersteller-Patch: SAP-Sicherheitshinweis 3275727

Über unsere Forschungslabore

Onapsis Research Labs bietet eine Branchenanalyse der wichtigsten Sicherheitsprobleme, die sich auf geschäftskritische Systeme und Anwendungen auswirken. Onapsis Research Labs veröffentlichen regelmäßig aktuelle Sicherheits- und Compliance-Hinweise mit entsprechenden Risikoeinstufungen und Onapsis Research Labs fundiertes Fachwissen und langjährige Erfahrung, um der breiteren Informationssicherheits-Community technische und geschäftliche Einblicke sowie fundierte Sicherheitsbewertungen zu liefern. Alle gemeldeten Sicherheitslücken finden Sie unter: https://github.com/Onapsis/vulnerability_advisories Dieser Hinweis unterliegt einer Creative Commons 4.0 BY-ND International-Lizenz
Zurück zu den Hinweisen

Weiterführende Literatur

Hinweis

SAP BEx – Denial-of-Service-Angriffe und willkürliche Änderung/Löschung von Favoriten

SAP BEx – Denial-of-Service und willkürliche Änderung/Löschung von Favoriten – Auswirkungen auf den Geschäftsbetrieb Ein authentifizierter Angreifer kann einen Denial-of-Service-Zustand für andere Benutzer herbeiführen und diese daran hindern, über das SAP GUI auf das System zuzugreifen. Darüber hinaus kann der Angreifer benutzerspezifische Favoritenknoten ändern oder löschen, was zu Betriebsstörungen und dem Verlust von Komfortfunktionen für die betroffenen…

Weiterlesen
Hinweis

Denial-of-Service-Angriffe und willkürliche Änderung/Löschung von Favoriten

Auswirkungen von Denial-of-Service-Angriffen und der willkürlichen Änderung bzw. Löschung von Favoriten auf den Geschäftsbetrieb Ein authentifizierter Angreifer kann einen Denial-of-Service-Zustand für andere Benutzer herbeiführen und diese daran hindern, über das SAP GUI auf das System zuzugreifen. Darüber hinaus kann der Angreifer benutzerspezifische Favoritenknoten ändern oder löschen, was zu Betriebsstörungen und dem Verlust von Komfortfunktionen für die betroffenen Geschäftsanwender führt….

Weiterlesen
Hinweis

Offene Weiterleitung im SAP HANA XSA UAA-Server

Auswirkungen der „Open Redirect“-Sicherheitslücke im SAP HANA XSA UAA Server auf den Geschäftsbetrieb Die „Open Redirect“-Sicherheitslücke ermöglicht es Angreifern, Benutzer auf beliebige Websites umzuleiten und Phishing-Angriffe durchzuführen. Die Phisher können dann die Anmeldedaten der Opfer oder andere wichtige Daten stehlen, die in weiteren Angriffsketten genutzt werden können. Dies hat begrenzte Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der…

Weiterlesen