Forscher demonstrieren wie man Root-Zugriff auf SAP-Server erhält

6. August 2020, 11:45
  • security
  • sap
  • lücke
  • international
  • cloud
  • insideit
image

Sie nutzten eine Reihe von Schwachstellen im SAP Solution Manager, der oft nicht im Fokus von Security-Anstrengungen steht.

Die Onapsis-Cybersicherheitsforscher Pablo Artuso und Yvan Genuer haben Fehler im SAP Solution Manager (SolMan) gefunden, die als kritisch eingestuft werden, für die inzwischen aber Patches existieren. Die Lücken haben sie im SAP SolMan entdeckt, der in puncto Sicherheit oft übersehen werde, weil er nicht direkt mit Geschäftsdaten zu tun habe, hielten die Forscher gegenüber 'Zdnet' fest. Sie haben ihre Resultate an der gerade zu Ende gehenden diesjährigen Black Hat Konferenz vorgestellt.
Der Bericht stellt SolMan als Verwaltungs-Tool für geschäftskritische Anwendungen von SAP- und Nicht-SAP-Software vor, die in On-Premises-, Cloud- und hybride Umgebungen integriert sind. Laut Onapsis Research Labs ist SolMan bereits im letzten Jahr einem Sicherheitscheck unterzogen worden. Es handele sich um das "technisches Herzstück einer SAP-Landschaft" und die gefundenen Schwachstellen würden nicht authentifizierten Angreifern ermöglichen, "jedes mit der Plattform verbundene System" zu kompromittieren. Getestet worden seien SolMan-Setups und etwa 60 Anwendungen im Zusammenhang mit SMDAgent, von denen über 20 über HTTP GET-, POST- oder SOAP-Anfragen zugänglich waren.
Laut Bericht funktioniert SolMan durch die Verbindung mit Software-Agenten auf SAP-Servern. Benutzt werde dafür eine Funktion namens SMDAgent, auch bekannt als der SAP Solution Manager Diagnostic Agent. SMDAgent erleichtert die Kommunikation und Instanzenüberwachung und wird im Allgemeinen auf Servern installiert, auf denen SAP-Anwendungen ausgeführt werden.
Bei der Sicherheitsuntersuchung habe sich eine Anwendung, das End User Experience Monitoring (EEM) des SolMan, als potenziell anfälliger Endpunkt erwiesen. Denn für dessen Zugriff sei keine Authentifizierung erforderlich. EEM ermöglicht es SAP-Administratoren, Skripte zur Emulation von Benutzeraktionen zu erstellen und diese via EEM-Roboter in anderen Systemen zu verteilen, heisst es in dem Bericht. Würde die Lücke nicht geschlossen, wäre es möglich alle mit SolMan verbundenen SMDAgents zu kompromittieren.
Als entsprechend schwerwiegend wird diese RCE-Schwachstelle (Remote Code Execution) im CVE-2020-6207 mit dem CVSS-Höchstwert von 10,0 klassifiziert. Ausserdem seien zwei etwas weniger kritische Schwachstellen im SolMan entdeckt worden. CVE-2020-6234 (mit einem CVSS von 7,2) habe man im SAP-Host-Agent gefunden. Sie erlaube Kriminellen, die sich bereits Administratorrechte angeeignet haben, das Operations-Framework zu missbrauchen, um Root-Level-Privilegien zu erlangen.
Ausserdem wird auf die Lücke CVE-2020-6236 (CVSS: 7.2) verwiesen, die ebenfalls im SAP-Host-Agent gefunden wurde. Dieser Fehler trete speziell in den Modulen SAP Landscape Management und SAP Adaptive Extensions auf und erlaube ebenfalls eine Privilegieneskalation.
Die beiden Onapsis-Spezialisten warnten, dass die Verkettung dieser Schwachstellen Angreifern ermöglichen würde, die Gesamtkontrolle über die mit dem SolMan verbundenen SMDAgents erhalten könnten.
CVE-2020-6207 wurde am 2. Februar an SAP gemeldet, und 10 Tage später bestätigt. Onapsis habe dann zusätzliche technische Details geliefert und SAP am 10. März eine Lösung gegen die Lückke publiziert. CVE-2020-6234 und CVE-2020-6236 seien bereits am 9. Dezember 2019 an SAP gemeldet worden. Hier habe es aber länger gedauert, bis das Problem gelöst war. Ein Patch sei erst am 13. April zur Verfügung gestellt worden. 

Loading

Mehr zum Thema

image

Die Chipindustrie ist im freien Fall

Nach Jahren des Booms zeichnet sich eine Krise für den Halbleiter-Markt ab. Laut Analysten könnte die Branche historische Negativwerte erreichen.

publiziert am 30.1.2023
image

Änderung an WAN-Router führte zu Microsoft-Ausfall

Vergangene Woche sind verschiedene Applikationen und Dienste von Microsoft ausgefallen. In einem vorläufigen Bericht erklärt der Kon­zern, wie es dazu kommen konnte.

publiziert am 30.1.2023
image

Cyberkriminelle erbeuten Kundendaten der Online-Apotheke DocMorris

Bei dem Cyberangriff haben unbekannte Täter 20'000 Kundenkonten kompromittiert. Die Online-Apotheke gehört zur Schweizer "Zur Rose"-Gruppe.

publiziert am 27.1.2023
image

Schwerer Schlag gegen eine der erfolgreichsten Ransomware-Banden

Die Gruppe Hive hatte unter anderen Emil Frey und Media Markt attackiert. Jetzt haben das FBI, Europol und weitere Behörden die Hive-Infrastruktur ausgeschaltet.

publiziert am 27.1.2023