Aktive Ausnutzung der SAP-Schwachstelle CVE-2017-12637

• CISA warnte Organisationen am 19. März 2024 vor der aktiven Ausnutzung von CVE-2017-12637.
• Onapsis Research Labs (ORL) identifizierte die aktive Ausnutzung dieser Schwachstelle über sein globales SAP Threat Intelligence Network und informierte sowohl SAP als auch CISA über die beobachteten böswilligen Aktivitäten.
• Diese bekannte Schwachstelle wurde ursprünglich von SAP im Jahr 2017 gepatcht. In einigen Fällen konnten Installationen jedoch trotz des angewendeten Patches exponiert sein, wie SAP im Jahr 2024 warnte.
• Diese Schwachstelle betrifft den SAP Netweaver AS Java Application Server, der für die Internetanbindung ausgelegt ist.
• CVSSv3 dieser Schwachstelle ist 7.7. Allerdings kann ein nicht authentifizierter Angreifer sie nutzen, um ein anfälliges SAP-System vollständig zu kompromittieren, weshalb es absolut wichtig ist, sie zu beheben.

Von CVSS 7.7 bis zur vollständigen Kompromittierung der SAP-Anwendung

Die Onapsis Research Labs haben beobachtet, dass diese Schwachstelle aktiv in freier Wildbahn ausgenutzt wird, und darüber hinaus haben Bedrohungsakteure umfassende Kenntnisse über die betroffenen SAP-Systeme unter Beweis gestellt und die Schwachstelle genutzt, um kritische SAP-Konfigurationsdateien aus dem Betriebssystem zu erhalten.

Die Art dieser speziellen Verzeichnis-Transversal-Schwachstelle ermöglicht es einem Angreifer, Systemdateien einschließlich Anmeldeinformationen oder den SAP Secure Store zu extrahieren, was direkt zu einer vollständigen Systemkompromittierung führen kann.

 CVE-2017-12637 verstehen

SAP-Systeme sind groß und komplex, mit vielen Komponenten, die miteinander und mit externen Systemen interagieren, um die hohe Anzahl an Diensten und Funktionen bereitzustellen, die sie als kritische Geschäftsanwendung handhabt. Folglich stehen Administratoren vor einer anspruchsvollen Aufgabe, da sie sicherstellen müssen, dass Sicherheitsmaßnahmen effektiv umgesetzt werden. Diese Komplexität ergibt sich aus potenziellen Fehlkonfigurationen, Patches, die manuelle Anpassungen wie die Deaktivierung von Komponenten oder Upgrades erfordern, der Verwaltung von Benutzerrollen und der Zugriffskontrolle, um nur einige der Sicherheitsaspekte zu nennen.

Ein gutes Beispiel hierfür ist der SAP Security Note 2486657, der die Schwachstelle CVE-2017-12637 behebt, eine Pfad-Traversal-Schwachstelle, die es einem Angreifer ermöglicht, beliebige Dateien abzurufen, auf die der SAP-Systembenutzer Zugriff hat. Diese Schwachstelle betrifft SAP CPS 8.0 und die Empfehlung des Hinweises lautet, die folgenden Patches anzuwenden:

• ENGINEAPI 7.50 SP02
• ENGINEAPI 7.50 SP03
• ENGINEAPI 7.50 SP04
• ENGINEAPI 7.50 SP05

Danach wurde diese spezifische Komponente umbenannt – von SAP CPS V8 in SAP BPA V9, wie in der SAP-Meldung 2278834 (von 2021) beschrieben – sodass ein Administrator diese Komponente vollständig durch die neue ersetzen muss.

Damit ist die Geschichte aber noch nicht zu Ende. Im Jahr 2024 veröffentlichte SAP den SAP-Hinweis 3476549, in dem eine „Directory Traversal“-Schwachstelle im SAP NetWeaver AS Java-System für eine bestimmte URL hervorgehoben wird, selbst wenn die Systemversion höher ist als das Patch-Level in SAP-Hinweis 2486657. In der Notiz werden SAP-Systemadministratoren angewiesen, zu überprüfen, ob die anfällige Komponente noch aktiv ist. Wenn dies der Fall ist, werden Optionen und Links zu früheren Notizen zum Aktualisieren oder Deaktivieren der Komponente bereitgestellt. Das einfache Anwenden eines Patches reicht möglicherweise nicht aus, da die anfällige Komponente weiterhin aktiv sein und weiterhin Anfragen empfangen könnte.

Dies zeigt, wie komplex und dynamisch es sein kann, eine Fehlerbehebung oder eine Umgehungslösung für ein SAP-System zu implementieren, und welche Anstrengungen aus sicherheitstechnischer Sicht erforderlich sind.

Mit einem CVSS-Schwachstellenwert von 7,7 kann ein Angreifer diese Schwachstelle missbrauchen, um den anfänglichen Zugriff leicht zu erweitern und an kritische Dateien zu gelangen, die möglicherweise wertvolle Informationen über das System liefern könnten, oder sogar an hochprivilegierte Benutzerdaten, die in den Systemdateien gespeichert sind.

Letzte Woche hat CISA den Katalog der bekannten ausgenutzten Schwachstellen (KEV) aktualisiert und dabei die aktive Ausnutzung dieser CVE hervorgehoben:

Update to the Catalog of Known Exploited Vulnerabilities by CISA on CVE-2017-12637

Anatomie des Angriffs/der Angriffe

Die Ausnutzung von CVE-2017-12637 erfolgt über HTTP(s), und der Test ist unkompliziert: Ein Angreifer kann eine GET-Methode für die betroffene URL mit einem typischen Pfad-Traversal-Exploit ausführen.

Da SAP Netweaver Java die Basisplattform für Anwendungen wie SAP Portal ist, ist es so konzipiert, dass es mit dem Internet verbunden ist. Daher ist die Wahrscheinlichkeit und Häufigkeit der Ausnutzung dieser Schwachstelle extrem hoch.

Angreifer, die auf eine bestimmte SAP-Anwendung abzielen, können beliebige Dateien aus dem System abrufen, und einige von den Onapsis Research Labs beobachtete Bedrohungsakteure haben umfassende Kenntnisse über SAP-Systeme nachgewiesen.

Angreifer prüfen mehrere URL(s) von SAP-Systemen auf bekannte Schwachstellen. Sobald ein System identifiziert wurde, das anfällig für CVE-2017-12637 ist, beginnen Angreifer sofort mit der Exfiltration von SAP-spezifischen Dateien.

Wie unten dargestellt, ist dies ein Beispiel dafür, wie ein Angreifer mehrere Dateinamen testet, um Dateien aus dem Betriebssystem der SAP-Anwendung zu exfiltrieren.

Sample of multiple requests performed by the attacker, testing the availability of specific files.

Attacker exploitation with positive result

Es ist wichtig zu erwähnen, dass diese Sicherheitslücke nicht nur die Exfiltration von Textdateien, sondern auch von Binärdateien, einschließlich kritischer Dateien wie dem SAP Secure Store, ermöglicht, um hochprivilegierte SAP-Benutzeranmeldeinformationen zu erhalten.

Nach dem Herunterladen des SAP Secure Store können Angreifer, die CVE-2017-12637 nutzen, Tools verwenden, die öffentlich auf GitHub verfügbar sind, um den Inhalt des Passwortspeichers zu entschlüsseln und hochprivilegierte SAP-Anmeldeinformationen zu erhalten, die ihnen vollen Zugriff auf die ungeschützte SAP-Anwendung gewähren würden.

Decryption of the SAP Secure Store file using publicly available tools

Nach erfolgreicher Entschlüsselung kann sich der Angreifer über einen Webbrowser bei der SAP-Anwendung oder der SAP-Datenbank anmelden, je nachdem, welche Konnektivitätsstufe erreicht wurde:

Login to the SAP Application using decrypted credentials.

Dies zeigt, wie wichtig eine kontinuierliche Überwachung und angemessene Schutzmaßnahmen sind, um veraltete Komponenten oder Fehlkonfigurationen zu erkennen, auch solche, die mit alten SAP-Sicherheitslücken zusammenhängen.

Nächste Schritte und Maßnahmen

Für alle, die mehr von unserem Team erfahren möchten, veranstalten wir am Donnerstag, den 27. März, ein Webinar. Melden Sie sich hier an.

Für Unternehmen ist es wichtig, die relevanten SAP-Hinweise zu überprüfen: 2486657, 2278834 und 3476549 zu überprüfen, da eine erfolgreiche Ausnutzung es Angreifern ermöglicht, jede beliebige Datei aus dem betroffenen System zu extrahieren, einschließlich solcher, die zur vollständigen Kompromittierung des Systems verwendet werden könnten. Aufgrund der komplexen Natur von SAP-Systemen und der Interaktion ihrer zahlreichen Komponenten sind eine kontinuierliche Überwachung und eingehende Scans von Systemkonfigurationen und Patches erforderlich, um einen umfassenden Schutz zu gewährleisten.

Weitere Informationen zu Patches und kritischen SAP-Sicherheitsupdates finden Sie in unseren SAP-Patch-Day-Archiven, um über die neuesten Fehlerbehebungen und Empfehlungen auf dem Laufenden zu bleiben.

Anhang: MITRE ATT&CK-Zuordnung

Die Zuordnung der aktiven Ausnutzung von CVE-2017-12637 zum MITRE ATT&CK-Framework kann Verteidigern dabei helfen, dieses Verhalten zu modellieren und Organisationen vor aktiven Bedrohungen zu schützen:

Mitre Technique ID	Technique	Artifact
T1190	Exploit Public-Facing Application	CVE-2017-12637 exploited to perform arbitrary file access on the target Operating System.
T1083	File and Directory Discovery	Through the attempt to access multiple directories and files, the attacker can map available resources at the Operating System level.
T1592	Gather Victim Host Information	Through the exploration of Operating System Files, it is possible for attackers to identify the underlying OS, its version and installed software, to mention a few examples.
T1555	Credentials from Password Stores	The SAP Netweaver Application Server Java stores sensitive information in encrypted password stores, that can be decrypted if access to the OS is possible.

Source: Onapsis-Blog

---

Sie haben Fragen? Ihr Ansprechpartner für D/A/CH

Do you have any questions? Your contact person for D/A/CH

Thomas Fritsch, Onapsis

---

Bild/Quelle: https://depositphotos.com/de/home.html