Nicht authentifizierte JNDI-Injektion im SAP Enterprise Portal

Auswirkungen auf die Wirtschaft

Ein nicht authentifizierter Angreifer, der Zugriff auf den HTTP(s)-Port eines SAP Enterprise Portals hat, könnte bereitgestellte Anwendungen starten. Infolgedessen könnten angehaltene Anwendungen gestartet werden, was zu weiteren schwerwiegenden Folgen führen könnte. Diese Sicherheitslücke ist Teil einer größeren Familie namens P4CHAINS. Diese Gruppe von Fehlern kann schwerwiegendere Folgen haben und Systeme den schlimmsten Szenarien aussetzen. Weitere Informationen finden Sie unter: https://onapsis.com/blog/p4chains-vulnerabilities-where-the-risk-from-the-whole-is-greater-than-the-sum

Betroffene Komponenten – Beschreibung

Das SAP Enterprise Portal (EP) ist die Web-Frontend-Komponente für SAP NetWeaver – die umfassende Integrations- und platform die Abstimmung von Mitarbeitern, Informationen und Geschäftsprozessen über organisatorische und technische Grenzen hinweg ermöglicht. Basierend auf NetWeaver Java dient das SAP EP als zentraler Zugangspunkt zu SAP- und Nicht-SAP-Informationsquellen, Unternehmensanwendungen, Informationsspeichern, Datenbanken und Diensten innerhalb und außerhalb Ihres Unternehmens.

Details zur Sicherheitslücke

Als Lösung auf Basis der SAP Java NetWeaver-Schicht stellt EP mehrere Webanwendungen bereit. Diese Webanwendungen können je nach Konfiguration den Status „gestartet“ oder „gestoppt“ haben. Selbstverständlich sollten nur Administratoren in der Lage sein, sie über die NetWeaver-Verwaltungsschnittstelle (NWA) ein- und auszuschalten. Unter den Anwendungen, die standardmäßig in EP ausgeliefert und gestartet werden, befindet sich eine namens „NavigationServlet“. Diese Anwendung steuert und verwaltet die Navigationsaktivitäten innerhalb des Portals und ist aufgrund ihrer Beschaffenheit ohne Authentifizierung zugänglich. Aufgrund fehlender Sanitisierung wurden in der Implementierung dieser Anwendung mehrere JNDI-Injektionsstellen gefunden. Infolgedessen könnte ein Angreifer ohne Anmeldedaten diese Schwachstelle ausnutzen, um Anwendungen zu aktivieren, die zwar bereitgestellt, aber gestoppt wurden. Der Angreifer könnte zudem Post-Exploit-Techniken nutzen, indem er Anwendungen aktiviert, die beispielsweise aufgrund bekannter Schwachstellen deaktiviert wurden oder die nur in sicheren und kontrollierten Szenarien aktiviert werden sollen.

Lösung

SAP hat den SAP-Hinweis 3289994 veröffentlicht, der gepatchte Versionen der betroffenen Komponenten enthält. Die Patches können unter folgender Adresse heruntergeladen werden: https://launchpad.support.sap.com/#/notes/3289994 Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitspatches herunterzuladen und auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken zu minimieren.

Zeitachse des Berichts

• 07.11.2022: Die Sicherheitslücke wurde dem Hersteller gemeldet.
• 09.11.2022: Der Anbieter teilt die Vorfallnummer mit.
• 29.11.2022: SAP widerspricht dem ursprünglich angegebenen CVSS-Wert von 8,5
• 01.12.2022: Onapsis begründet die gewählte CVSS-Bewertung.
• 07.12.2022: SAP fragt, ob das Problem im aktuellen Support-Paket reproduzierbar war.
• 08.12.2022: Onapsis antwortet und bestätigt, dass es funktioniert.
• 26.01.2023: Onapsis hat neue Informationen zu potenziellen neuen Ausnutzungsmöglichkeiten veröffentlicht.
• 07.02.2023: SAP stellt einige Fragen zu den neuesten Sicherheitslücken.
• 14.02.2023: Onapsis antwortet mit neuen Proof-of-Concepts und Antworten auf die Fragen von SAP.
• 11.04.2023: Patch veröffentlicht.

QUELLENANGABEN

• Blogbeitrag von Onapsis:https://onapsis.com/blog/sap-security-patch-day-january-2023
• CVE Mitre:https://nvd.nist.gov/vuln/detail/CVE-2023-0017
• Hersteller-Patch:https://me.sap.com/notes/3289994/E
• Black-Hat-Vortrag: „https://www.blackhat.com/us-23/briefings/schedule/#chained-to-hit-discovering-new-vectors-to-gain-remote-and-root-access-in-sap-enterprise-software-31340“
• Blogbeitrag von P4chains:https://onapsis.com/blog/p4chains-vulnerabilities-where-the-risk-from-the-whole-is-greater-than-the-sum