Nicht authentifizierte JNDI-Injektion im RemoteObjectFactory-P4-Dienst

Auswirkungen auf die Wirtschaft

Ein nicht authentifizierter Angreifer, der Zugriff auf den P4-Port einer Java-basierten SAP-Lösung hat, könnte eine JNDI-Injektion ausnutzen, um Anwendungen zu starten. In der Folge könnten weitere Angriffe durchgeführt werden, indem Schwachstellen oder Funktionen in den neu gestarteten Anwendungen ausgenutzt werden. Diese Sicherheitslücke ist Teil einer größeren Familie namens P4CHAINS. Diese Gruppe von Fehlern kann schwerwiegendere Folgen haben und Systeme den schlimmsten Szenarien aussetzen. Weitere Informationen finden Sie unter: https://onapsis.com/blog/p4chains-vulnerabilities-where-the-risk-from-the-whole-is-greater-than-the-sum

Betroffene Komponenten – Beschreibung

Die Komponenten SERVERCORE/CORE-TOOLS/J2EE-FRMW bilden einen zentralen Bestandteil der SAP NetWeaver Java-Schicht.

Daher ist jedes Produkt oder jede Lösung, die auf dieser Ebene basiert, von dieser Sicherheitslücke betroffen. Zu diesen Produkten gehören unter anderem:

• SAP Enterprise Portal
• SAP Solution Manager
• SAP PI/PO
• SAP-Landschaftsmanager
• usw.

Details zur Sicherheitslücke

P4 ist ein proprietäres Protokoll, das von SAP im NetWeaver-Java-Stack implementiert wurde. Kurz gesagt basiert dieses Protokoll auf RMI- und CORBA-Technologien und zielt darauf ab, Funktionen für den Fernaustausch von Objekten bereitzustellen. Über die P4-Schnittstelle ist es möglich, auf eine Reihe von exponierten Diensten zuzugreifen. Alle diese Dienste sind mithilfe der JavaBeans-Technologie implementiert. Innerhalb dieser Liste von Diensten, RemoteObjectFactory wurde entdeckt. Dieser Dienst ermöglicht die Durchführung von JNDI-Lookups. Aufgrund fehlender Validierung ist es möglich, beliebige gefälschte URLs anzugeben, die als Parameter für den JNDI-Lookup verwendet werden. Infolgedessen könnte ein Angreifer diese Schwachstelle ausnutzen und Anwendungen ohne Authentifizierung starten. Diese gestarteten Anwendungen könnten zusätzliche Angriffsflächen und Möglichkeiten für mögliche Post-Exploitation-Techniken bieten.

Lösung

SAP hat den SAP-Hinweis 3317453 veröffentlicht, der gepatchte Versionen der betroffenen Komponenten enthält. Die Patches können heruntergeladen werden unter https://launchpad.support.sap.com/#/notes/3317453 Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitspatches herunterzuladen und auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken zu minimieren.

Zeitachse des Berichts

• 16.02.2023: Die Sicherheitslücke wurde dem Hersteller gemeldet.
• 16.02.2023: Der Anbieter teilt die Vorfallnummer mit.
• 09.05.2023: Patch veröffentlicht.

Literaturverzeichnis

• Blogbeitrag von Onapsis: https://onapsis.com/blog/sap-security-patch-day-january-2023
• CVE Mitre: https://nvd.nist.gov/vuln/detail/CVE-2023-0017
• Hersteller-Patch: https://me.sap.com/notes/3317453/E
• Black-Hat-Vortrag: „ https://www.blackhat.com/us-23/briefings/schedule/#chained-to-hit-discovering-new-vectors-to-gain-remote-and-root-access-in-sap-enterprise-software-31340“
• Blogbeitrag von P4chains: https://onapsis.com/blog/p4chains-vulnerabilities-where-the-risk-from-the-whole-is-greater-than-the-sum