SAPStartSrv – Einfügen von Betriebssystembefehlen vor der Authentifizierung als Root oder System
23. Juli 2025
SAPStartSrv – Einfügen von Betriebssystembefehlen vor der Authentifizierung als Root oder System
Auswirkungen auf die Wirtschaft
- Wenn der Parameter service/localconnection = compat :
- Wenn der Parameter service/localconnection nicht gesetzt ist:
- Beide Szenarien führen dazu, dass alle auf dem SAP-Zielsystem laufenden SAP-Systeme vollständig kompromittiert werden.
Details zur Sicherheitslücke
Der SAP-Startdienst, der auf den Ports 1128 (HTTP) und 1129 (HTTPS) lauscht, ermöglicht nicht authentifizierten Benutzern den Zugriff auf mehrere SOAP-Methoden unter den Namespaces „SAPOsCol“ oder „SAPHostControl“. Eine davon, „ConfigureOutsideDiscovery“, verarbeitet den Parameternamen nicht korrekt, dessen Wert im Rahmen eines OS-Befehls „move“ verwendet wird, um die Konfigurationsdatei vom temporären Verzeichnis in das endgültige Verzeichnis zu übertragen. Es ist möglich, beliebige OS-Befehle in diesen Parameterwert einzuschleusen. Der Befehl wird als OS-Administrator (root oder SYSTEM) ausgeführt.Lösung
SAP hat den SAP-Hinweis 3285757 veröffentlicht, der gepatchte Versionen der betroffenen Komponenten enthält. Die Patches können heruntergeladen werden unter https://me.sap.com/notes/3285757. Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitspatches herunterzuladen und auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken zu minimieren.Zeitachse des Berichts
- 21.11.2022: Onapsis übermittelt Daten an SAP
- 14.12.2022: SAP widerspricht dem CVSS-Wert
- 15.12.2022: Onapsis liefert weitere Erläuterungen
- 14.02.2023: SAP veröffentlicht einen SAP-Hinweis zur Behebung des Problems
Literaturverzeichnis
- Onapsis-Blogbeitrag: https://onapsis.com/blog/sap-patch-day-february-2023/
- CVE Mitre: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-24523
- Hersteller-Patch: https://me.sap.com/notes/3285757
- Hack In The Box, Phuket, 2023 – Eine Geschichte unerwarteter Ergebnisse bei Penetrationstests https://www.youtube.com/watch?v=jkSaP_KH-yY
Hinweise
- Veröffentlichungsdatum: 23.07.25
- Sicherheitshinweis-ID: ONAPSIS-2024-0016
- Forscher: Yvan Genuer
Informationen zur Sicherheitslücke
- Anbieter: SAP
- Betroffene Komponenten: SAP Host Agent
- SAPHOSTAGENT 7.21
- SAPHOSTAGENT 7.22 SP058 und früher (Ausführliche Informationen zu den betroffenen Releases finden Sie im SAP-Hinweis 3285757)
- Schwachstellenklasse: CWE-78, CWE-306
- CVSS v3-Bewertung: 9,0 AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
- Risikostufe: Kritisch
- Zugewiesene CVE-Nummer: CVE-2023-24523
- Informationen zum Hersteller-Patch: SAP Security NOTE 3285757