Offenlegung nicht authentifizierter Informationen im CacheRegionAnalyzer P4-Dienst

Auswirkungen auf das Geschäft

Ein nicht authentifizierter Angreifer mit Zugriff auf den P4-Port einer Java-basierten SAP-Lösung könnte vertrauliche technische Informationen herausfiltern, die für zukünftige Angriffe genutzt werden könnten.

Diese Schwachstelle ist Teil einer größeren Familie namens P4CHAINS. Diese Gruppe von Fehlern kann schwerwiegendere Folgen haben und Systeme schlimmsten Szenarien aussetzen. Für weitere Informationen, besuchen Sie bitte: https://onapsis.com/blog/p4chains-vulnerabilities-where-the-risk-from-the-whole-is-greater-than-the-sum

Beschreibung der betroffenen Komponenten

SERVERCORE/CORE-TOOLS/J2EE-FRMW-Komponenten sind ein zentraler Bestandteil der SAP Netweaver JAVA-Schicht.

Daher ist jedes Produkt oder jede Lösung, die auf dieser Ebene basiert, von dieser Sicherheitslücke betroffen.

Einige dieser Produkte sind:

• SAP Enterprise Portal
• SAP-Lösungsmanager
• SAP PI/PO
• SAP-Landschaftsmanager

Sicherheitslücken Details

P4 ist ein proprietäres Protokoll, das von SAP im NetWeaver JAVA-Stack implementiert wird. Kurz gesagt basiert dieses Protokoll auf RMI- und CORBA-Technologien mit dem Ziel, Funktionen für den Fernaustausch von Objekten bereitzustellen. Über die P4-Schnittstelle ist der Zugriff auf eine Reihe verfügbarer Dienste möglich. Alle diese Dienste werden mithilfe der JAVABeans-Technologie implementiert.

Innerhalb dieser Liste von Diensten CacheRegionAnalyzer wurde gefunden. Dieser Dienst stellt Informationen zu Benutzern, besuchten URLs, sensiblen URL-Parametern, Cache-Gruppen und weiteren Informationen bereit, die im System zwischengespeichert werden. Da alle von diesem Objekt bereitgestellten Funktionen keine Authentifizierung oder Autorisierung erzwingen, könnte jeder anonyme Angreifer wertvolle Informationen für weitere Angriffe extrahieren.

Lösung

SAP hat den SAP-Hinweis 3288096 veröffentlicht, der gepatchte Versionen der betroffenen Komponenten bereitstellt.

Die Patches können heruntergeladen werden unter https://launchpad.support.sap.com/#/notes/3288096.

Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitsfixes herunterzuladen und auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken zu reduzieren.

Report Timeline

• 11: Sicherheitslücke reportan den Verkäufer geschickt.
• 11: Anbieter gibt Vorfallnummer an.
• 03: Patch veröffentlicht.

Bibliographie

• Onapsis-Blogpost: https://onapsis.com/blog/sap-security-patch-day-january-2023
• CVE-Gehrung: https://nvd.nist.gov/vuln/detail/CVE-2023-0017
• Hersteller-Patch: https://me.sap.com/notes/3288096/E
• Black-Hat-Talk: https://www.blackhat.com/us-23/briefings/schedule/#chained-to-hit-discovering-new-vectors-to-gain-remote-and-root-access-in-sap-enterprise-software-31340
• P4chains-Blogpost: https://onapsis.com/blog/p4chains-vulnerabilities-where-the-risk-from-the-whole-is-greater-than-the-sum