Unberechtigter Lesezugriff auf Betriebssystemdateien und Denial-of-Service beim Sperren des P4-Dienstes

Auswirkungen auf die Wirtschaft

Ein nicht authentifizierter Angreifer mit Zugriff auf den P4-Port einer Java-basierten SAP-Lösung könnte beliebige Betriebssystemdateien lesen und/oder das System durch das Anfordern von Anwendungssperren vollständig zum Absturz bringen. Infolgedessen könnte die Verfügbarkeit des Systems vollständig beeinträchtigt werden, da Benutzer keine Anwendungen mehr nutzen könnten. Darüber hinaus könnten anonyme Angreifer durch das Lesen von Betriebssystemdateien möglicherweise sensible Informationen einsehen, was es ihnen ermöglichen würde, das System vollständig zu kompromittieren. Diese Schwachstelle ist Teil einer größeren Familie namens P4CHAINS. Diese Gruppe von Fehlern kann schwerwiegendere Folgen haben und Systeme den schlimmsten Szenarien aussetzen. Weitere Informationen finden Sie unter: https://onapsis.com/blog/p4chains-vulnerabilities-where-the-risk-from-the-whole-is-greater-than-the-sum

Betroffene Komponenten – Beschreibung

Die Komponenten SERVERCORE/CORE-TOOLS/J2EE-FRMW sind ein zentraler Bestandteil der SAP NetWeaver Java-Schicht. Daher sind alle Produkte oder Lösungen, die auf dieser Schicht basieren, von dieser Sicherheitslücke betroffen. Zu diesen Produkten gehören unter anderem:

• SAP Enterprise Portal
• SAP Solution Manager
• SAP PI/PO
• SAP-Landschaftsmanager

Details zur Sicherheitslücke

P4 ist ein proprietäres Protokoll, das von SAP im NetWeaver-Java-Stack implementiert wurde. Kurz gesagt basiert dieses Protokoll auf RMI- und CORBA-Technologien und zielt darauf ab, Funktionen für den Austausch von Objekten über große Entfernungen bereitzustellen. Über die P4-Schnittstelle ist es möglich, auf eine Reihe von exponierten Diensten zuzugreifen. Alle diese Dienste sind mithilfe der JavaBeans-Technologie implementiert. In dieser Liste von Diensten wurde **Locking** gefunden. Dieser Dienst implementiert die Verwaltung von Anwendungssperren. Da alle von diesem Objekt bereitgestellten Funktionen weder eine Authentifizierung noch eine Autorisierung durchführten, konnte jeder anonyme Angreifer Sperren anfordern und diese niemals freigeben, was zu einem DoS führte. Darüber hinaus wurde bei einer bestimmten Funktion, die das Lesen des Inhalts einer Datei ermöglichte, die Bereinigung einer benutzergesteuerten Eingabe nicht erfolgreich implementiert, was zu einem beliebigen Lesen von Betriebssystemdateien führte. Infolgedessen wäre ein anonymer Angreifer in der Lage, sensible Daten zu exfiltrieren oder bestimmte Dateien zu lesen, die es ihm ermöglichen würden, seine Berechtigungen zu erweitern und unbefugten, aber privilegierten Zugriff auf das System zu erlangen.

Lösung

SAP hat den SAP-Hinweis 3252433 veröffentlicht, der gepatchte Versionen der betroffenen Komponenten enthält. Die Patches können heruntergeladen werden unter https://launchpad.support.sap.com/#/notes/3252433 Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitspatches herunterzuladen und auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken zu minimieren.

Zeitachse des Berichts

• 28.10.2022: Die Sicherheitslücke wurde dem Hersteller gemeldet.
• 31.10.2022: Der Anbieter teilt die Vorfallnummer mit.
•  14.03.2023: Patch veröffentlicht.

---

QUELLENANGABEN

• Blogbeitrag von Onapsis: https://onapsis.com/blog/sap-security-patch-day-january-2023
• CVE Mitre: https://nvd.nist.gov/vuln/detail/CVE-2023-0017
• Hersteller-Patch: https://me.sap.com/notes/3252433/E
• Black-Hat-Vortrag: „ https://www.blackhat.com/us-23/briefings/schedule/#chained-to-hit-discovering-new-vectors-to-gain-remote-and-root-access-in-sap-enterprise-software-31340“
• Blogbeitrag von P4chains: https://onapsis.com/blog/p4chains-vulnerabilities-where-the-risk-from-the-whole-is-greater-than-the-sum