Offenlegung nicht authentifizierter Informationen im CacheRegionAnalyzer P4-Dienst
Auswirkungen auf das Geschäft
Ein nicht authentifizierter Angreifer mit Zugriff auf den P4-Port einer Java-basierten SAP-Lösung könnte vertrauliche technische Informationen herausfiltern, die für zukünftige Angriffe genutzt werden könnten.
Diese Schwachstelle ist Teil einer größeren Familie namens P4CHAINS. Diese Gruppe von Fehlern kann schwerwiegendere Folgen haben und Systeme schlimmsten Szenarien aussetzen. Für weitere Informationen, besuchen Sie bitte: https://onapsis.com/blog/p4chains-vulnerabilities-where-the-risk-from-the-whole-is-greater-than-the-sum
Beschreibung der betroffenen Komponenten
SERVERCORE/CORE-TOOLS/J2EE-FRMW-Komponenten sind ein zentraler Bestandteil der SAP Netweaver JAVA-Schicht.
Daher ist jedes Produkt oder jede Lösung, die auf dieser Ebene basiert, von dieser Sicherheitslücke betroffen.
Einige dieser Produkte sind:
- SAP Enterprise Portal
- SAP-Lösungsmanager
- SAP PI/PO
- SAP-Landschaftsmanager
Sicherheitslücken Details
P4 ist ein proprietäres Protokoll, das von SAP im NetWeaver JAVA-Stack implementiert wird. Kurz gesagt basiert dieses Protokoll auf RMI- und CORBA-Technologien mit dem Ziel, Funktionen für den Fernaustausch von Objekten bereitzustellen. Über die P4-Schnittstelle ist der Zugriff auf eine Reihe verfügbarer Dienste möglich. Alle diese Dienste werden mithilfe der JAVABeans-Technologie implementiert.
Innerhalb dieser Liste von Diensten CacheRegionAnalyzer wurde gefunden. Dieser Dienst stellt Informationen zu Benutzern, besuchten URLs, sensiblen URL-Parametern, Cache-Gruppen und weiteren Informationen bereit, die im System zwischengespeichert werden. Da alle von diesem Objekt bereitgestellten Funktionen keine Authentifizierung oder Autorisierung erzwingen, könnte jeder anonyme Angreifer wertvolle Informationen für weitere Angriffe extrahieren.
Lösung
SAP hat den SAP-Hinweis 3288096 veröffentlicht, der gepatchte Versionen der betroffenen Komponenten bereitstellt.
Die Patches können heruntergeladen werden unter https://launchpad.support.sap.com/#/notes/3288096.
Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitsfixes herunterzuladen und auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken zu reduzieren.
Report Timeline
- 11: Sicherheitslücke reportan den Verkäufer geschickt.
- 11: Anbieter gibt Vorfallnummer an.
- 03: Patch veröffentlicht.
Bibliographie
- Onapsis-Blogpost: https://onapsis.com/blog/sap-security-patch-day-january-2023
- CVE-Gehrung: https://nvd.nist.gov/vuln/detail/CVE-2023-0017
- Hersteller-Patch: https://me.sap.com/notes/3288096/E
- Black-Hat-Talk: https://www.blackhat.com/us-23/briefings/schedule/#chained-to-hit-discovering-new-vectors-to-gain-remote-and-root-access-in-sap-enterprise-software-31340
- P4chains-Blogpost: https://onapsis.com/blog/p4chains-vulnerabilities-where-the-risk-from-the-whole-is-greater-than-the-sum
Beratungsinformationen
- Datum der Veröffentlichung: TBD
- Security Advisory ID: ONAPSIS-2023-0008
- Forscher: Pablo Artuso
Informationen zur Sicherheitslücke
- Anbieter: SAP
- Betroffene Komponenten:
- Java-Kernel-Versionen:
- 7.50.3301.472568.20220902101413
- 7.50.3301.467525.20210601093523
- 7.50.3301.407179.20200416085516
- SERVERCORE/CORE-TOOLS/J2EE-FRMW-Komponentenversionen:
- 1000.7.50.24.7.20221009183400
- 1000.7.50.22.0.20210804111800
- 1000.7.50.2.0.20160125191600
(Detaillierte Informationen zu betroffenen Releases finden Sie im SAP-Hinweis 3288096.)
- Schwachstellenklasse:
- CWE-862: Fehlende Autorisierung
- CWE-306: Fehlende Authentifizierung für kritische Funktion
- CVSS v3-Score: 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)
- Risikostufe: Mittel
- Zugewiesener CVE: CVE-2023-26460
- Informationen zum Hersteller-Patch: SAP-Sicherheitshinweis 3288096
ÜBER UNSER RESEARCH LABS
Onapsis Research Labs bietet eine Branchenanalyse wichtiger Sicherheitsprobleme, die sich auf geschäftskritische Systeme und Anwendungen auswirken.
Bereitstellung regelmäßiger und zeitnaher Sicherheits- und Compliance-Hinweise mit zugehörigen Risikostufen, Onapsis Research Labs bündeln fundiertes Wissen
und Erfahrung, um der breiteren Informationssicherheitsgemeinschaft technische und geschäftliche Zusammenhänge mit fundiertem Sicherheitsurteil zu vermitteln.
Finde alles reported-Schwachstellen unter:
https://github.com/Onapsis/vulnerability_advisories
Diese Beratung ist lizenziert unter a Creative Commons 4.0 BY-ND Internationale Lizenz