SAP stopft kritischen RCE-Fehler in Fertigungssoftware aus

Cyber Security News

Der Fehler bei der Remotecodeausführung könnte es Angreifern ermöglichen, Malware zu installieren, Netzwerkkonfigurationen zu ändern und Datenbanken einzusehen.

Der Unternehmenssoftware-Riese SAP hat Korrekturen für eine kritische Sicherheitslücke in seiner Echtzeit-Datenüberwachungssoftware für Fertigungsbetriebe veröffentlicht. Wenn die Schwachstelle ausgenutzt wird, kann ein Angreifer auf SAP-Datenbanken zugreifen, Endbenutzer mit Malware infizieren und Netzwerkkonfigurationen ändern.

Die Behebung des kritischen Fehlers war Teil von 18 Sicherheits-Patches, die SAP veröffentlicht hat, um neue Schwachstellen zu beheben und bereits veröffentlichte Patches zu aktualisieren.

Die beiden kritischsten Fehlerbehebungen, die im Rahmen des Sicherheitsupdates neu veröffentlicht wurden, betrafen die Schwachstelle in der SAP-Anwendung Manufacturing Integration and Intelligence (MII) zur Synchronisierung von Fertigungsabläufen sowie eine Schwachstelle im Java-Software-Stack von SAP NetWeaver AS.

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2019/02/19151457/subscribe2.jpg]

“Mit 18 neuen und aktualisierten SAP-Sicherheitshinweisen liegt der März-Patch-Day von SAP leicht unter der durchschnittlichen Anzahl von Patches, die in den ersten beiden Monaten des Jahres 2021 veröffentlicht wurden”, so die Forscher von Onapsis in einer Analyse vom Mittwoch. “Mit SAP MII, SAP NetWeaver AS Java und SAP HANA sind diesmal drei verschiedene Anwendungen von kritischen Sicherheitslücken (HotNews und High Priority) betroffen.”

SAP MII Sicherheitslücke: Remote Code Execution

Bei der Sicherheitslücke in SAP MII (CVE-2021-21480) handelt es sich um eine Code-Injection-Schwachstelle, bei der Code in die Sprache einer Zielanwendung eingefügt und vom serverseitigen Interpreter ausgeführt wird. Die Schwachstelle hat einen CVSS-Score von 9,9 von 10. Nach Angaben von SAP sind die Versionen 15.1, 15.2, 15.3 und 15.4 betroffen.

SAP MII ist eine NetWeaver AS Java-basierte Plattform, die eine Echtzeitüberwachung der Produktion und eine Datenanalyse für Einblicke in die Leistungseffizienz ermöglicht.

Die Schwachstelle stammt von einer Komponente von SAP MII namens Self-Service Composition Environment (SSCE), die zur Gestaltung von Dashboards für die Echtzeit-Datenanalyse verwendet wird. Diese Dashboards können als Java Server Pages (JSP)-Datei gespeichert werden. Ein Angreifer kann jedoch aus der Ferne eine JSP-Anfrage an den Server abfangen, sie mit bösartigem Code injizieren und sie dann an den Server weiterleiten.

“Wenn ein solches infiziertes Dashboard in der Produktion von einem Benutzer mit einem Minimum an Berechtigungen geöffnet wird, wird der bösartige Inhalt ausgeführt, was zu einer Remote-Code-Ausführung auf dem Server führt”, so die Onapsis-Forscher.

Dies könnte zu verschiedenen bösartigen Angriffen führen, einschließlich des Zugriffs auf SAP-Datenbanken und der Möglichkeit, Datensätze zu lesen, zu ändern oder zu löschen; das Ausweichen auf andere Server; die Infizierung von Endbenutzern mit Malware und die Änderung von Netzwerkkonfigurationen, um potenziell interne Netzwerke zu beeinträchtigen.

Die Forscher empfehlen dringend, den entsprechenden Patch so schnell wie möglich einzuspielen.

“Der Patch verhindert, dass Dashboards als JSP-Dateien gespeichert werden”, so die Onapsis-Forscher. “Leider gibt es keine flexiblere Lösung. Wenn JSP-Dateien erforderlich sind, sollten Kunden den Zugriff auf das SSCE so weit wie möglich einschränken und alle JSP-Inhalte manuell validieren, bevor sie in die Produktion gehen.”

SAP NetWeaver AS Java-Schwachstelle

Ein weiterer schwerwiegender Fehler existiert in SAP NetWeaver AS Java, Versionen 7.10, 7.11, 7.30, 7.31, 7.40 und 7.50. Speziell die Komponente MigrationService ist insofern betroffen, als dass ihr Berechtigungsprüfungen fehlen.

Diese Schwachstelle (CVE-2021-21481) wird auf der CVSS-Skala mit 9,6 eingestuft und damit als kritisch eingestuft.

SAP NetWeaver AS Java wird in der Regel intern für die Migration von Anwendungen zwischen Hauptversionen für die AS Java-Engine verwendet.

“Die fehlende Berechtigungsprüfung könnte es einem Angreifer ermöglichen, administrative Rechte zu erlangen”, so die Forscher. “Dies könnte zu einer vollständigen Kompromittierung der Vertraulichkeit, Integrität und Verfügbarkeit des Systems führen.”

Andere schwerwiegende SAP-Sicherheitslücken

Neben diesen beiden schwerwiegenden Schwachstellen hat SAP auch einen Authentifizierungs-Bypass (CVE-2021-21484) in SAP HANA (Version 2.0) behoben. Außerdem wurden zwei frühere Sicherheitsupdates aktualisiert – darunter eine fehlende Authentifizierungsprüfung im SAP Solution Manager (aus einem Sicherheitshinweis vom März 2020) und ein Sicherheitsupdate für Google Chromium (aus einem Sicherheitshinweis vom April 2018). SAP hat keine weiteren Details zu den Updates für diese Sicherheitshinweise angegeben.

Die Fixes kommen nach einem Sicherheitsupdate von SAP im Februar, das eine kritische Schwachstelle in seiner Commerce-Plattform für E-Commerce-Unternehmen behebt. Wenn die Schwachstelle ausgenutzt wird, könnte sie Remote-Code-Ausführung ermöglichen, die letztlich die Anwendung kompromittieren oder stören könnte.

Die Fixes kommen auch während einer geschäftigen Patch Tuesday Woche. Microsofts regulär geplante März-Patch-Dienstags-Updates beheben insgesamt 89 Sicherheitslücken, darunter 14 kritische Fehler und 75 Fehler mit hohem Schweregrad.

Ebenfalls am Dienstag wurden Sicherheitsupdates von Adobe veröffentlicht, die eine Reihe von kritischen Schwachstellen beheben, die bei Ausnutzung die Ausführung von beliebigem Code auf anfälligen Windows-Systemen ermöglichen könnten.

Einige Teile dieses Artikels stammen aus:
threatpost.com