Offenlegung nicht authentifizierter Informationen beim Bereitstellen des P4-Dienstes

1. Februar 2024

Auswirkungen auf die Wirtschaft

Ein nicht authentifizierter Angreifer, der Zugriff auf den P4-Port einer Java-basierten SAP-Lösung hat, könnte sensible technische Informationen abgreifen, die für zukünftige Angriffe genutzt werden könnten. Diese Sicherheitslücke ist Teil einer größeren Familie namens P4CHAINS. Diese Gruppe von Fehlern kann schwerwiegendere Folgen haben und Systeme den schlimmsten Szenarien aussetzen. Weitere Informationen finden Sie unter: https://onapsis.com/blog/p4chains-vulnerabilities-where-the-risk-from-the-whole-is-greater-than-the-sum

Betroffene Komponenten – Beschreibung

Die Komponenten SERVERCORE/CORE-TOOLS/J2EE-FRMW sind ein zentraler Bestandteil der SAP NetWeaver Java-Schicht. Daher sind alle Produkte oder Lösungen, die auf dieser Schicht basieren, von dieser Sicherheitslücke betroffen. Zu diesen Produkten gehören unter anderem:

  • SAP Enterprise Portal
  • SAP Solution Manager
  • SAP PI/PO
  • SAP-Landschaftsmanager

Details zur Sicherheitslücke

P4 ist ein proprietäres Protokoll, das von SAP im NetWeaver-Java-Stack implementiert wurde. Kurz gesagt basiert dieses Protokoll auf RMI- und CORBA-Technologien und zielt darauf ab, Funktionen für den Fernaustausch von Objekten bereitzustellen. Über die P4-Schnittstelle ist es möglich, auf eine Reihe von exponierten Diensten zuzugreifen. Alle diese Dienste sind mithilfe der JavaBeans-Technologie implementiert. Innerhalb dieser Liste von Diensten, bereitstellen wurde entdeckt. Dieser Dienst liefert Informationen zu Diensten, Anwendungen, Bibliotheken, Ladeprogrammen, dem Status von Anwendungen usw., die derzeit im System bereitgestellt werden oder nicht. Da für alle von diesem Objekt bereitgestellten Funktionen weder eine Authentifizierung noch eine Autorisierung erforderlich war, konnte jeder anonyme Angreifer wertvolle Informationen für weitere Angriffe extrahieren.

Lösung

SAP hat den SAP-Hinweis 3287784 veröffentlicht, der gepatchte Versionen der betroffenen Komponenten enthält. Die Patches können heruntergeladen werden unter https://launchpad.support.sap.com/#/notes/3287784. Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitspatches herunterzuladen und auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken zu minimieren.

Zeitachse des Berichts

  • 21.11.2022: Sicherheitslücke dem Hersteller gemeldet
  • 22.11.2022: Der Anbieter teilt die Vorfallnummer mit
  • 11.04.2023: Patch veröffentlicht.

QUELLENANGABEN

Zurück zu den Hinweisen

Hinweise

  • Veröffentlichungsdatum: 01.02.2024
  • Sicherheitshinweis-ID: ONAPSIS-2023-0007
  • Forscher: Pablo Artuso

Informationen zur Sicherheitslücke

  • Anbieter: SAP
  • Betroffene Komponenten:
  • Java-Kernel-Versionen:
    • 7.50.3301.472568.20220902101413
    • 7.50.3301.467525.20210601093523
    • 7.50.3301.407179.20200416085516
  • Versionen der Komponenten SERVERCORE/CORE-TOOLS/J2EE-FRMW:
    • 1000.7.50.24.7.20221009183400
    • 1000.7.50.22.0.20210804111800
    • 1000.7.50.2.0.20160125191600
(Ausführliche Informationen zu den betroffenen Releases finden Sie im SAP-Hinweis 3252433)
  • Sicherheitslückenklasse:
    • CWE-862: Fehlende Autorisierung
    • CWE-306: Fehlende Authentifizierung für kritische Funktion
  • CVSS v3-Bewertung: 5,3 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)
  • Risikostufe: Mittel
  • Zugewiesene CVE-Nummer: CVE-2023-24527
  • Informationen zum Hersteller-Patch: SAP-Sicherheitshinweis 3287784
ÜBER UNSERE FORSCHUNGSLABORE Onapsis Research Labs bietet eine Branchenanalyse der wichtigsten Sicherheitsprobleme, die sich auf geschäftskritische Systeme und Anwendungen auswirken. Onapsis Research Labs veröffentlichen regelmäßig aktuelle Sicherheits- und Compliance-Hinweise mit entsprechenden Risikoeinstufungen und Onapsis Research Labs fundiertes Fachwissen und Erfahrung, um der breiteren Informationssicherheits-Community technische und geschäftliche Einblicke mit fundierten Sicherheitsbeurteilungen zu liefern. Alle gemeldeten Sicherheitslücken finden Sie unter https://github.com/Onapsis/vulnerability_advisories Dieser Hinweis unterliegt einer Creative Commons 4.0 BY-ND International-Lizenz
Zurück zu den Hinweisen

Weiterführende Literatur

Hinweis

SAP BEx – Denial-of-Service-Angriffe und willkürliche Änderung/Löschung von Favoriten

SAP BEx – Denial-of-Service und willkürliche Änderung/Löschung von Favoriten – Auswirkungen auf den Geschäftsbetrieb Ein authentifizierter Angreifer kann einen Denial-of-Service-Zustand für andere Benutzer herbeiführen und diese daran hindern, über das SAP GUI auf das System zuzugreifen. Darüber hinaus kann der Angreifer benutzerspezifische Favoritenknoten ändern oder löschen, was zu Betriebsstörungen und dem Verlust von Komfortfunktionen für die betroffenen…

Weiterlesen
Hinweis

Denial-of-Service-Angriffe und willkürliche Änderung/Löschung von Favoriten

Auswirkungen von Denial-of-Service-Angriffen und der willkürlichen Änderung bzw. Löschung von Favoriten auf den Geschäftsbetrieb Ein authentifizierter Angreifer kann einen Denial-of-Service-Zustand für andere Benutzer herbeiführen und diese daran hindern, über das SAP GUI auf das System zuzugreifen. Darüber hinaus kann der Angreifer benutzerspezifische Favoritenknoten ändern oder löschen, was zu Betriebsstörungen und dem Verlust von Komfortfunktionen für die betroffenen Geschäftsanwender führt….

Weiterlesen
Hinweis

Offene Weiterleitung im SAP HANA XSA UAA-Server

Auswirkungen der „Open Redirect“-Sicherheitslücke im SAP HANA XSA UAA Server auf den Geschäftsbetrieb Die „Open Redirect“-Sicherheitslücke ermöglicht es Angreifern, Benutzer auf beliebige Websites umzuleiten und Phishing-Angriffe durchzuführen. Die Phisher können dann die Anmeldedaten der Opfer oder andere wichtige Daten stehlen, die in weiteren Angriffsketten genutzt werden können. Dies hat begrenzte Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der…

Weiterlesen