Eine kritische Sicherheitslücke mit Höchstwertung bedroht unter anderem SAP ERP 6.0, S/4HANA, NetWeaver und Web Dispatcher. Die US Cybersecurity & Infrastructure Security Agency (CISA) warnt vor möglichen Attacken auf SAP-Produkte. Patchen Sie UMGEHEND Ihre SAP-Systeme!
Nutzen Hacker Sicherheitslücken in der betriebswirtschaftlichen Software aus, könnten sie Computer vollständig kompromittieren. Angriffe sind sowohl aus dem Intranet als auch Internet ohne Authentifizierung möglich. Alle SAP User sollten umgehend handeln und die Systeme patchen!
Reagieren Sie sofort, denn verheerende Auswirkungen sind möglich
In einer Warnmeldung schreibt die CISA, dass Angreifer unter anderem Verschlüsselungstrojaner auf Systeme schieben könnten. Außerdem warnen sie vor Finanzbetrug und der Unterbrechung von geschäftskritischen Prozessen. Ob es bereits Attacken gibt, ist bislang nicht bekannt.
Die hochkritische Lücke (CVE-2022-22536 CVSS Score 10 von 10) betrifft den SAP-Internet Communication Manager (ICM). Diese Kernkomponente kommt unter anderem bei Content Server, NetWeaver ABAP und JAVA sowie Web Dispatcher zum Einsatz.
Angreifer könnten ohne Authentifizierung Anfragen von Nutzern manipulieren und Funktionen im Namen des Opfers ausführen. Das kann zur vollständigen Kompromittierung von Systemen führen.
Quellen: https://www.heise.de/news/Jetzt-patchen-Kritische-Luecke-in-Kernkomponente-bedroht-SAP-Produkte-6369582.html sowie SAP-Sicherheitshinweise.
Die als HotNews deklarierten Security Notes 3123396 and 3123427 aus dem Patchday vom 8. Februar 2022 geben detaillierte Infos, wie zu handeln ist:
3123396 – Request-Smuggling und Request-Verkettung in SAP NetWeaver, SAP Content Server und SAP Web Dispatcher [CVE-2022-22536]
Prüfen Sie vor der Implementierung die Anwendbarkeit der Behelfslösung für Ihre SAP-Landschaft. Der SAP-Hinweis 3137885 beschreibt die Behelfslösung.
Beachten Sie, dass es sich hierbei um eine temporäre Korrektur und nicht um eine dauerhafte Lösung handelt. SAP rät dazu, diese nur zu verwenden, wenn ein Patch der betroffenen Anwendungssysteme kurzfristig nicht möglich ist. SAP empfiehlt dringend, die im Sicherheitshinweis genannten Korrekturen einzuspielen. Dies kann anstelle der Behelfslösung oder nach dem Einspielen der Behelfslösung erfolgen.
Spielen Sie in die Systeme so bald wie möglich einen Patch ein, und entfernen Sie die Behelfslösung, nachdem das Patching abgeschlossen ist!
Die Korrektur wird mit den folgenden Archiven ausgeliefert:
- SAPWEBDISP.SAR
- Hotfix – Datei dw.sar
- SP Stack Kernel – Dateien SAPEXE.SAR und SAPEXEDB.SAR
Sie erfordert einen Patch sowohl für den SAP Web Dispatcher als auch für den SAP-Kernel. Der Patch behebt das Sicherheitsproblem vollständig. Allerdings bietet SAP keine Möglichkeit, den Erfolg des Patches zu testen.
Der Workaround für ICM Patching ist in Hinweis 3137885 – Workaround for security SAP note 3123396 beschrieben.
„Ich bin der Meinung, dass – aufgrund der hierin beschriebenen Komplexität – der Workaround in der Praxis in der Regel nicht anwendbar ist und empfehle Ihnen daher, ein sofortiges Kernel Patching durchzuführen!“
3123427 – HTTP-Request-Smuggling in SAP NetWeaver Application Server Java [CVE-2022-22532]
Diese Schwachstellen wurden durch eine ordnungsgemäße Speicherbehandlung für HTTP-Pipeline-Requests behoben. Die Korrektur ist in allen Patch-Leveln enthalten, die gleich oder größer sind als der im Abschnitt „Support-Package-Patches“ zum jeweiligen Kernel-Release aufgeführte Patch-Level. Sie wird mit den folgenden SAP-Kernel-Archiven ausgeliefert:
- Hotfix – DW.SAR
- SP-Stack-Kernel – Dateien SAPEXE.SAR und SAPEXEDB.SAR
Prüfen Sie vor der Implementierung die Anwendbarkeit der Behelfslösung für Ihre SAP-Landschaft. Beachten Sie, dass es sich auch bei dieser Behelfslösung um eine temporäre Korrektur und nicht um eine dauerhafte Lösung handelt. SAP empfiehlt wiederum dringend, die im Sicherheitshinweis genannten Korrekturen einzuspielen. Dies kann anstelle der Behelfslösung oder nach dem Einspielen der Behelfslösung erfolgen.
Wenn die Unterstützung von HTTP-Pipeline-Requests auf dem Server nicht erforderlich ist, können Sie die Behelfslösung implementieren, indem Sie die Unterstützung von HTTP-Pipeline-Requests über die folgende Profilparametereinstellung deaktivieren: icm/handle_http_pipeline_requests=FALSE
Ralf Kempf (CTO SAST SOLUTIONS)
Weitere SAP Patchday Infos: