Eine neue hochkritische Sicherheitslücke – bewertet mit dem Common Vulnerability Scoring System größer 9.0 – ist im Juni von der SAP geschlossenen worden. Patchen Sie so schnell wie möglich Ihre SAP-Systeme und beheben Sie diese Schwachstelle!
Die SAP hat im Juni folgende neue sehr kritische Sicherheitslücke bekanntgegeben:
Falsche Authentifizierung in SAP NetWeaver ABAP-Server und ABAP-Plattform [CVE-2021-27610]
Der SAP NetWeaver ABAP-Server und die ABAP-Plattform legen keine Informationen über interne und externe RFC-Benutzer in einem abgegrenzten und konsistenten Format an. Dies können Angreifer ausnutzen, um sich unrechtmäßigen Zugriff auf das System zu verschaffen.
Der ABAP-Server unterscheidet nicht eindeutig, ob die Kommunikation über RFC oder HTTP zwischen dem Anwendungsserver desselben SAP-Systems oder mit Servern außerhalb des Systems stattfindet. Ein Angreifer wäre somit in der Lage, Zugangsdaten aus einer internen RFC-Kommunikation zwischen Server A (RFC- oder HTTP-Client) und Server B (der den Request bedient) desselben Systems zu stehlen. Mit den gestohlenen Zugangsdaten kann er eine eigene RFC- oder HTTP-Kommunikation zwischen dem neuen externen Programm C und dem Server A erstellen, indem er vorgibt, interner Aufrufer an Server A zu sein.
Die Gefährdung eines solchen Angriffs lässt sich reduzieren, indem Sie den Zugriff aus externen Netzwerkquellen für die RFC- und HTTP-Kommunikation in der Netzwerkschutzlösung entsprechend einschränken.
Um das Risiko abzustellen, ist ein Kernel-Patch notwendig.
Quelle: https://launchpad.support.sap.com/#/notes/3007182
Weitere hochkritische Schwachstellen:
SAP schließt drei hochkritische Sicherheitslücken zum Dezember Patchday. Handeln Sie umgehend!