Nicht authentifizierte SQL-Injection und DoS im SeachFacade P4-Dienst

Auswirkungen auf die Wirtschaft

Ein nicht authentifizierter Angreifer mit Zugriff auf den P4-Port einer Java-basierten SAP-Lösung wäre in der Lage, beliebige Tabellen aus der Datenbank auszulesen, sensible Informationen zu verändern und/oder einen Denial-of-Service-Angriff auf das Zielsystem auszulösen. Infolgedessen könnten sensible Informationen offengelegt werden, was es einem anonymen externen Angreifer sogar ermöglichen würde, seinen Angriff von einer teilweisen Kompromittierung auf eine vollständige Kompromittierung des Systems auszuweiten. Diese Schwachstelle ist Teil einer größeren Familie namens P4CHAINS. Diese Gruppe von Fehlern kann schwerwiegendere Folgen haben und Systeme den schlimmsten Szenarien aussetzen. Weitere Informationen finden Sie unter: https://onapsis.com/blog/p4chains-vulnerabilities-where-the-risk-from-the-whole-is-greater-than-the-sum

Betroffene Komponenten – Beschreibung

Die Prozessintegration bzw. Prozessorchestrierung stützt sich zur Erfüllung ihrer Hauptaufgaben auf den Austausch von PI-Nachrichten. Dieses Messaging-Framework ist im MESSAGING SYSTEM SERVICE implementiert.

Details zur Sicherheitslücke

P4 ist ein proprietäres Protokoll, das von SAP im NetWeaver-Java-Stack implementiert wurde. Kurz gesagt basiert dieses Protokoll auf RMI- und CORBA-Technologien und zielt darauf ab, Funktionen für den Austausch von Objekten über große Entfernungen bereitzustellen. Über die P4-Schnittstelle ist es möglich, auf eine Reihe von öffentlich zugänglichen Diensten zuzugreifen. Alle diese Dienste sind mithilfe der JavaBeans-Technologie implementiert. Innerhalb dieser Liste von Diensten, Suchfassade wurde entdeckt. Dieser Dienst scheint Funktionen im Zusammenhang mit Indizes und Komponentenprofilen zu implementieren, die Aktionen zum Ändern, Hinzufügen und Löschen von Daten in Datenbanktabellen ausführten. Die Schnittstelle, die das Objekt implementierte, stellte mehrere Funktionen bereit, auf die alle ohne Authentifizierung zugegriffen werden konnten. Durch die Analyse dieser offengelegten Funktionen war es möglich, Injektionspunkte zu finden, an denen benutzergesteuerte Daten ohne vorherige Bereinigung an SQL-Anweisungen angehängt wurden. Darüber hinaus stellte eine weitere spezifische Funktion Parameter bereit, die dazu führen konnten, dass dieselben spezifischen Dienste hängen blieben, was einen teilweisen DoS verursachte.

Lösung

SAP hat den SAP-Hinweis 3273480 veröffentlicht, der gepatchte Versionen der betroffenen Komponenten enthält. Die Patches können heruntergeladen werden unter https://launchpad.support.sap.com/#/notes/3273480 Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitspatches herunterzuladen und auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken zu minimieren.

Zeitachse des Berichts

• 28.10.2022: Die Sicherheitslücke wurde dem Hersteller gemeldet.
• 31.10.2022: Der Anbieter teilt die Vorfallnummer mit.
• 03.11.2022: SAP bat um Klarstellung bezüglich des CVSS-Werts.
• 03.11.2022: Onapsis übermittelt eine Begründung für jeden Teil des Vektors, der beanstandet wurde.
• 07.11.2023: SAP bat um Klarstellung bezüglich des CVSS-Werts.
• 16.11.2023: Onapsis antwortet und übermittelt weitere Begründungen zum CVSS.
• 13.12.2022: Patch veröffentlicht.

---

QUELLENANGABEN

• Blogbeitrag von Onapsis:https://onapsis.com/blog/sap-security-patch-day-january-2023
• CVE Mitre: https://nvd.nist.gov/vuln/detail/CVE-2023-0017
• Hersteller-Patch: https://me.sap.com/notes/3273480/E
• Black-Hat-Vortrag: „ https://www.blackhat.com/us-23/briefings/schedule/#chained-to-hit-discovering-new-vectors-to-gain-remote-and-root-access-in-sap-enterprise-software-31340“
• Blogbeitrag von P4chains: https://onapsis.com/blog/p4chains-vulnerabilities-where-the-risk-from-the-whole-is-greater-than-the-sum