Nicht authentifizierte RCE in SAP-SMD-Agenten über SAP SolMan

19. März 2021

Auswirkungen auf die Wirtschaft

Ein böswilliger, nicht authentifizierter Benutzer könnte die fehlende Authentifizierungsprüfung beim Webservice „User-Experience Monitoring“ des SAP Solution Managers ausnutzen, um über diese SMD-Agenten aus der Ferne Befehle auf allen Hosts auszuführen, die mit dem betroffenen SolMan verbunden sind.

Betroffene Komponenten – Beschreibung

SAP SolMan 7.2 führt eine Reihe von Webservices ein, die auf dem SAP Java NetWeaver-Stack laufen. In den betroffenen Versionen ist ein anfälliger Webservice ohne Authentifizierung zugänglich. Betroffene Komponenten:
  • SAP Solution Manager SP004 Patch 0011 und früher
  • SAP Solution Manager SP005 Patch 0012 und früher
  • SAP Solution Manager SP006 Patch 0013 und früher
  • SAP Solution Manager SP007 Patch 0019 und früher
  • SAP Solution Manager SP008 Patch 0015 und früher
  • SAP Solution Manager SP009 Patch 0007 und früher
  • SAP Solution Manager SP010 Patch 0001 und früher
  • SAP Solution Manager SP011 Patch 0003 und früher
(Ausführliche Informationen zu den betroffenen Releases finden Sie im SAP-Hinweis Nr. 2890213)

Details zur Sicherheitslücke

Der Webservice-Endpunkt „EemAdminService/EemAdmin“, der in SolMan 7.2 standardmäßig verfügbar ist, erfordert keine Benutzerauthentifizierung, wenn jemand versucht, ihn zu nutzen. Da es sich um einen SOAP-Endpunkt handelt, kann jeder nicht authentifizierte Angreifer, der lediglich über einen HTTP(s)-Zugang zum System verfügt, speziell gestaltete SOAP-Nachrichten senden, um die verschiedenen Aktionen zu nutzen, die dieser Endpunkt bereitstellt. Dieser Webdienst, der nur im Solution Manager vorhanden ist, ermöglicht es Benutzern, Skripte hochzuladen, die anschließend in den mit dem Ziel-SolMan verbundenen SMD-Agenten ausgeführt werden. Aufgrund fehlender Sanitisierung ist es möglich, bestimmte Skripte zu erstellen, die letztendlich OS-Befehle mit den Benutzerrechten des SMD-Agenten ausführen könnten.

Lösung

SAP hat den SAP-Hinweis 2890213 veröffentlicht, der gepatchte Versionen der betroffenen Komponenten enthält. Die Patches können unter folgender Adresse heruntergeladen werden: https://service.sap.com/sap/support/notes/2890213. Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitspatches herunterzuladen und auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken zu minimieren.

Zeitachse des Berichts

  • 02.05.2020: Onapsis übermittelt SAP Einzelheiten zu einer Sicherheitslücke
  • 07.02.2020: SAP stellt interne Sendungsnummer zur Verfügung
  • 12.02.2020: SAP gibt Update heraus: Sicherheitslücke bestätigt – Behebung in Arbeit
  • 10.03.2020: SAP veröffentlicht einen SAP-Hinweis zur Behebung des Problems.
QUELLENANGABEN

Hinweise

  • Veröffentlichungsdatum: 19.03.2021
  • Sicherheitshinweis-ID:ONAPSIS-2021-0001
  • ID der gemeldeten Sicherheitslücke: 819
  • Forscher: PabloArtuso, Yvan Genuer

Informationen zur Sicherheitslücke

  • Anbieter: SAP
  • Sicherheitslücke: |LS|CWE-306|RS| Fehlende Authentifizierung für kritische Funktion
  • CVSS v3-Wert: 10,0 (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)
  • Schweregrad: Kritisch
  • CVE: CVE-2020-6207
  • Informationen zum Hersteller-Patch:SAP-Sicherheitshinweis Nr. 2890213
ÜBER UNSERE FORSCHUNGSLABORE Onapsis Research Labs bietet Branchenanalysen zu zentralen Sicherheitsfragen, die sich auf geschäftskritische Systeme und Anwendungen auswirken. Onapsis Research Labs veröffentlichen regelmäßig aktuelle Sicherheits- und Compliance-Hinweise mit entsprechenden Risikoeinstufungen und Onapsis Research Labs fundiertes Fachwissen und langjährige Erfahrung, um der breiteren Informationssicherheits-Community technische und geschäftliche Einblicke sowie fundierte Sicherheitsbeurteilungen zu liefern. Alle gemeldeten Sicherheitslücken finden Sie unter https://github.com/Onapsis/vulnerability_advisories LIZENZ Dieser Hinweis unterliegt einer Creative Commons 4.0 BY-ND International-Lizenz
Zurück zu den Hinweisen

Weiterführende Literatur

Hinweis

SAP BEx – Denial-of-Service-Angriffe und willkürliche Änderung/Löschung von Favoriten

SAP BEx – Denial-of-Service und willkürliche Änderung/Löschung von Favoriten – Auswirkungen auf den Geschäftsbetrieb Ein authentifizierter Angreifer kann einen Denial-of-Service-Zustand für andere Benutzer herbeiführen und diese daran hindern, über das SAP GUI auf das System zuzugreifen. Darüber hinaus kann der Angreifer benutzerspezifische Favoritenknoten ändern oder löschen, was zu Betriebsstörungen und dem Verlust von Komfortfunktionen für die betroffenen…

Weiterlesen
Hinweis

Denial-of-Service-Angriffe und willkürliche Änderung/Löschung von Favoriten

Auswirkungen von Denial-of-Service-Angriffen und der willkürlichen Änderung bzw. Löschung von Favoriten auf den Geschäftsbetrieb Ein authentifizierter Angreifer kann einen Denial-of-Service-Zustand für andere Benutzer herbeiführen und diese daran hindern, über das SAP GUI auf das System zuzugreifen. Darüber hinaus kann der Angreifer benutzerspezifische Favoritenknoten ändern oder löschen, was zu Betriebsstörungen und dem Verlust von Komfortfunktionen für die betroffenen Geschäftsanwender führt….

Weiterlesen
Hinweis

Offene Weiterleitung im SAP HANA XSA UAA-Server

Auswirkungen der „Open Redirect“-Sicherheitslücke im SAP HANA XSA UAA Server auf den Geschäftsbetrieb Die „Open Redirect“-Sicherheitslücke ermöglicht es Angreifern, Benutzer auf beliebige Websites umzuleiten und Phishing-Angriffe durchzuführen. Die Phisher können dann die Anmeldedaten der Opfer oder andere wichtige Daten stehlen, die in weiteren Angriffsketten genutzt werden können. Dies hat begrenzte Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der…

Weiterlesen