SAP Commerce Kritischer Sicherheitsfehler ermöglicht RCE

  • Die kritische SAP-Cybersicherheitslücke könnte die Kompromittierung einer von E-Commerce-Unternehmen genutzten Anwendung ermöglichen.

    SAP warnt vor einer kritischen Sicherheitslücke in seiner SAP Commerce-Plattform für E-Commerce-Unternehmen. Wenn die Schwachstelle ausgenutzt wird, könnte sie Remote Code Execution (RCE) ermöglichen, die letztendlich die Anwendung kompromittieren oder stören könnte.

    SAP Commerce organisiert Daten – wie z.B. Produktinformationen – zur Verbreitung über mehrere Kanäle. Dies kann Unternehmen bei der Bewältigung komplexer Supply-Chain-Management-Probleme einen Vorsprung verschaffen.

    Die Sicherheitslücke (CVE-2021-21477) betrifft die SAP-Commerce-Versionen 1808, 1811, 1905, 2005 und 2011. Die Schwachstelle wird auf der CVSS-Skala mit 9,9 von 10 Punkten bewertet und damit als kritisch eingestuft.

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2019/02/19151457/subscribe2.jpg]

    “In Anbetracht des zugewiesenen CVSS-Scores von 9,9 und angesichts der potenziellen Auswirkungen auf die Anwendung wird dringend empfohlen, die Schwachstelle so schnell wie möglich zu entschärfen”, so Thomas Fritsch von Onapsis in einer Analyse vom Dienstag.

    Was sind SAP Commerce Drools Regeln?

    Der Fehler erlaubt es bestimmten Benutzern mit “erforderlichen Rechten”, Drools-Regeln zu bearbeiten. Drools ist eine Engine, die die Regel-Engine für SAP Commerce bildet. Der Zweck von Drools ist es, einen Satz von Regeln zu definieren und auszuführen, die von Unternehmen zur Verwaltung komplexer Entscheidungsszenarien verwendet werden können.

    Die Schwachstelle rührt speziell von einer Regel in Drools her, die ein ruleContent-Attribut enthält. Dieses Attribut bietet Skripting-Möglichkeiten. Die Zuständigkeit für ruleContent ist typischerweise hochprivilegierten Benutzern vorbehalten, z. B. Administratoren, so Fritsch.

    “Aufgrund einer Fehlkonfiguration der Standardbenutzerrechte, die mit SAP Commerce ausgeliefert werden, erhalten jedoch mehrere weniger privilegierte Benutzer und Benutzergruppen die Berechtigung, die DroolsRule ruleContents zu ändern und somit unbeabsichtigten Zugriff auf diese Skripting-Möglichkeiten zu erhalten”, so Fritsch.

    Remote Code Execution in SAP Commerce

    Das bedeutet, dass ein Angreifer mit dieser niedrigeren Privilegstufe bösartigen Code in die Drools-Regelskripte injizieren kann – was zu RCE und der Kompromittierung des zugrunde liegenden Hosts führt. Und das erlaubt es einem Cyberkriminellen letztlich, “die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung zu beeinträchtigen”, so Fritsch.

    Ein Patch wurde veröffentlicht; allerdings, so Fritsch, adressieren die Korrekturen für die Schwachstelle nur die Standardberechtigungen bei der Initialisierung einer neuen Installation von SAP Commerce.

    “Für bestehende Installationen von SAP Commerce sind zusätzliche manuelle Schritte zur Behebung erforderlich”, sagte er. “Die gute Nachricht ist, dass diese manuellen Behebungsschritte für bestehende Installationen als vollständiger Workaround für SAP Commerce-Installationen verwendet werden können, die die neuesten Patch-Releases nicht rechtzeitig installieren können.”

    Andere kritische SAP Cybersecurity Releases

    Das Sicherheitsupdate war eines von sieben Sicherheitshinweisen, die am Dienstag von SAP veröffentlicht wurden. Bei den anderen sechs Veröffentlichungen handelte es sich um Updates für zuvor veröffentlichte Patch Tuesday-Sicherheitshinweise.

    Eine davon erreichte den Rang 10 auf der CVSS-Skala und adressierte Sicherheitslücken in der Browsersteuerung für Google Chromium, die mit dem SAP-Business-Client ausgeliefert wird. Betroffen ist die SAP-Business-Client-Version 6.5. Eine spezifische CVE-Zuordnung für diese Schwachstelle und weitere Details waren nicht verfügbar.

    Ein weiterer Fehler mit kritischem Schweregrad, der bereits am Dienstag veröffentlicht und aktualisiert wurde, umfasst mehrere Schwachstellen (CVE-2021-21465) in SAP Business Warehouse, einem auf der SAP NetWeaver ABAP-Plattform basierenden Daten-“Warehousing”-Produkt, das Daten sammelt und speichert.

    “Die BW-Datenbankschnittstelle ermöglicht es einem Angreifer mit geringen Rechten, beliebige, manipulierte Datenbankabfragen auszuführen und so die Backend-Datenbank zu entlarven”, so die Mitre Corporation. “Ein Angreifer kann seine eigenen SQL-Befehle einfügen, die die Datenbank ausführt, ohne die nicht vertrauenswürdigen Daten ordnungsgemäß zu bereinigen, was zu einer SQL-Injection-Schwachstelle führt, die das betroffene SAP-System vollständig kompromittieren kann.”

    Patch Tuesday Sicherheitsupdates

    Die Behebung der Sicherheitslücken erfolgt in einer arbeitsreichen Patch Tuesday-Woche. Microsoft behebt in seinen Februar-Patch-Dienstags-Updates neun kritische Sicherheitslücken sowie eine als wichtig eingestufte Sicherheitslücke, die aktiv in freier Wildbahn ausgenutzt wird.

    Adobe warnte vor einer kritischen Sicherheitslücke, die in der freien Wildbahn in “begrenzten Angriffen” ausgenutzt wurde, um Anwender von Adobe Acrobat Reader unter Windows anzugreifen.

    Außerdem hat Intel Korrekturen für fünf hochgradig gefährliche Schwachstellen in seinen Grafiktreibern veröffentlicht. Angreifer können diese Schwachstellen ausnutzen, um eine Reihe bösartiger Angriffe zu starten – wie z. B. die Eskalation ihrer Privilegien, den Diebstahl sensibler Daten oder Denial-of-Service-Angriffe.

    Ist Ihr Unternehmen ein leichtes Ziel? Sichern Sie sich Ihren Platz für “15 Cybersecurity Gaffes SMBs Make”, ein KOSTENLOSES Webinar von Threatpost am 24. Februar um 14 Uhr ET. Cyberkriminelle zählen darauf, dass Sie diese Fehler machen, aber unsere Experten helfen Ihnen, Ihr kleines bis mittleres Unternehmen so abzusichern, als wäre es ein Fortune 100-Unternehmen. Registrieren Sie sich hier für das LIVE-Webinar am Mittwoch, 24. Februar.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com