XXE-Sicherheitslücke in SAP Java NetWeaver System Connections
21. November 2021
Auswirkungen auf die Wirtschaft
Ein SAP-JAVA-NetWeaver-Benutzer mit weitreichenden Berechtigungen kann eine XXE-Sicherheitslücke ausnutzen, um Dateien aus dem Betriebssystem auszulesen (Gefährdung der Vertraulichkeit) und/oder Systemprozesse zum Absturz zu bringen (Gefährdung der Verfügbarkeit).Betroffene Komponenten – Beschreibung
Das ESP-Framework ist ein Framework, das innerhalb von SAP Java NetWeaver zum Einsatz kommt. Da es Teil dieser grundlegenden Ebene ist, sind alle auf Java NetWeaver basierenden SAP-Produkte für diesen Angriff anfällig. Dazu gehören unter anderem: SAP SolMan, SAP LaMa, SAP CRM, um nur einige zu nennen. Betroffene Komponenten:- ESP-Framework (SAP Java)
Details zur Sicherheitslücke
Die in SAP Java NetWeaver bereitgestellte Funktion „Kommunikationsprofile“ ist anfällig für XXE-Angriffe. Da externe Entitäten nicht validiert werden, kann ein authentifizierter Angreifer speziell gestaltete XML-Daten übermitteln und so die Integrität (durch Auslesen von Betriebssystemdateien) sowie die Verfügbarkeit (durch Herbeiführen eines Prozessabsturzes) gefährden.Lösung
SAP hat den SAP-Hinweis Nr. 3053066 veröffentlicht, der gepatchte Versionen der betroffenen Komponenten enthält. Die Patches können heruntergeladen werden unter https://launchpad.support.sap.com/#/notes/3053066. Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitspatches herunterzuladen und auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken zu minimieren.Zeitachse des Berichts
- 22.04.2021 – Onapsis übermittelt Daten an SAP
- 23.04.2021 – SAP gibt die interne Referenznummer 2170134834 an
- 26.04.2021 – SAP hat folgende E-Mail gesendet:
- 10.05.2021 – SAP gibt Update bekannt: Sicherheitslücke wird behoben
- 08.06.2021 – SAP veröffentlicht Patch Nr. 3053066
- 21.11.2021 – Veröffentlichung der Empfehlung
QUELLENANGABEN
- Onapsis-Blogbeitrag: https://onapsis.com/blog/sap-security-notes-april-19-sap-expands-xxe-critical-patch-java-and-hana/
- CVE Mitre: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27635
- Hersteller-Patch: https://launchpad.support.sap.com/#/notes/3053066
Hinweise
- Veröffentlichungsdatum: 21.11.2021
- Sicherheitshinweis-ID: ONAPSIS-2021-0016
- ID der gemeldeten Sicherheitslücke: 881
- Forscher: Pablo Artuso
Informationen zur Sicherheitslücke
- Anbieter: SAP
- Sicherheitslücke: |LS|CWE-611|RS| Unsachgemäße Einschränkung von Verweisen auf externe XML-Entitäten
- CVSS v3-Bewertung: 8,7 AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:L/A:H
- Schweregrad: Hoch
- CVE: CVE-2021-27635
- Informationen zum Hersteller-Patch: SAP-Sicherheitshinweis 3053066
ÜBER UNSERE FORSCHUNGSLABORE Onapsis Research Labs bietet eine Branchenanalyse der wichtigsten Sicherheitsprobleme, die sich auf geschäftskritische Systeme und Anwendungen auswirken. Onapsis Research Labs veröffentlichen regelmäßig aktuelle Sicherheits- und Compliance-Hinweise mit entsprechenden Risikoeinstufungen und Onapsis Research Labs fundiertes Fachwissen und Erfahrung, um der breiteren Informationssicherheits-Community technische und geschäftliche Einblicke mit fundierten Sicherheitsbeurteilungen zu liefern. Alle gemeldeten Sicherheitslücken finden Sie unter https://github.com/Onapsis/vulnerability_advisories Dieser Hinweis unterliegt einer Creative Commons 4.0 BY-ND International-Lizenz