HTTP-Request-Smuggling im SAP Web Dispatcher

Auswirkungen auf die Wirtschaft

Ein nicht authentifizierter Angreifer mit Zugriff auf den P4-Port einer Java-basierten SAP-Lösung wäre in der Lage, gespeicherte Anmeldedaten im Klartext auszulesen, vom Zielsystem implementierte RFC-Funktionen auszuführen oder sogar gespeicherte Verbindungen anzulegen, zu ändern oder zu löschen. Infolgedessen könnte das System je nach den Fähigkeiten des Angreifers und der bestehenden Konfiguration teilweise oder vollständig kompromittiert werden. Diese Schwachstelle ist Teil einer größeren Familie namens P4CHAINS. Diese Gruppe von Fehlern kann schwerwiegendere Folgen haben und Systeme den schlimmsten Szenarien aussetzen. Weitere Informationen finden Sie unter: https://onapsis.com/blog/p4chains-vulnerabilities-where-the-risk-from-the-whole-is-greater-than-the-sum

Betroffene Komponenten – Beschreibung

Die Komponenten SERVERCORE/CORE-TOOLS/J2EE-FRMW sind ein zentraler Bestandteil der SAP NetWeaver Java-Schicht. Daher sind alle Produkte oder Lösungen, die auf dieser Schicht basieren, von dieser Sicherheitslücke betroffen. Zu diesen Produkten gehören unter anderem:

• SAP Enterprise Portal
• SAP Solution Manager
• SAP PI/PO
• SAP-Landschaftsmanager

Details zur Sicherheitslücke

P4 ist ein proprietäres Protokoll, das von SAP im NetWeaver-Java-Stack implementiert wurde. Kurz gesagt basiert dieses Protokoll auf RMI- und CORBA-Technologien und zielt darauf ab, Funktionen für den Austausch von Objekten über große Entfernungen bereitzustellen. Über die P4-Schnittstelle ist es möglich, auf eine Reihe von exponierten Diensten zuzugreifen. Alle diese Dienste sind mithilfe der JavaBeans-Technologie implementiert. In dieser Liste von Diensten wurde rfcengine gefunden. Dieser Dienst implementiert den JCo-RFC-Provider-Dienst innerhalb von Java-Systemen. Weitere Informationen hier. Alle in der entsprechenden Bean implementierten Funktionen konnten ohne vorherige Authentifizierung ausgeführt werden. Funktionen wie addBundle, Bundle entfernen, Bundle-Konfiguration ändern würde es ermöglichen, neue Verbindungen herzustellen, zu entfernen oder zu ändern. Das Errichten einer Verbindung zu einem vom Angreifer kontrollierten Server würde diesem die Möglichkeit geben, RFC-Funktionen direkt auf dem anfälligen System auszuführen. Darüber hinaus würden Funktionen wie getConfiguration ruft die im System bereits konfigurierten Informationen ab. Im Rahmen dieser Konfiguration wird das Passwort im Klartext (sofern konfiguriert) abgerufen und ist somit für jeden Dritten, der über P4 kommunizieren kann, anonym einsehbar.

Lösung

SAP hat den SAP-Hinweis 3268093 veröffentlicht, der gepatchte Versionen der betroffenen Komponenten enthält. Die Patches können heruntergeladen werden unter https://launchpad.support.sap.com/#/notes/3268093 Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitspatches herunterzuladen und auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken zu minimieren.

Zeitachse des Berichts

• 28.10.2022: Die Sicherheitslücke wurde dem Hersteller gemeldet.
• 31.10.2022: Der Anbieter teilt die Vorfallnummer mit.
• 17.11.2022: SAP bat um Klarstellung bezüglich des CVSS-Werts.
• 18.11.2022: Onapsis übermittelt eine Begründung für jeden Teil des Vektors, der beanstandet wurde.
•  10.01.2023: Patch veröffentlicht.

---

QUELLENANGABEN

• Blogbeitrag von Onapsis: https://onapsis.com/blog/sap-security-patch-day-january-2023
• CVE Mitre: https://nvd.nist.gov/vuln/detail/CVE-2023-0017
• Hersteller-Patch: https://me.sap.com/notes/3268093/E
• Black-Hat-Vortrag: „ https://www.blackhat.com/us-23/briefings/schedule/#chained-to-hit-discovering-new-vectors-to-gain-remote-and-root-access-in-sap-enterprise-software-31340“
• Blogbeitrag von P4chains: https://onapsis.com/blog/p4chains-vulnerabilities-where-the-risk-from-the-whole-is-greater-than-the-sum