
Am 11. Juli 2023 veröffentlichte SAP nach einer fortlaufenden monatlichen Kadenz von Sicherheits-Patches Patches für zwei neue Schwachstellen (CVE-2023-33987 und CVE-2023-35871), die eine der kritischsten Komponenten von SAP-Anwendungen betreffen: den SAP Internet Communications Manager, auch bekannt als ICM. Wenn Ihnen das bekannt vorkommt, sollte es das auch. Letztes Jahr veröffentlichte Onapsis einen Bedrohungshinweis zu ICMAD, einer Reihe von kritischen Schwachstellen, die den ICM betreffen.
ICMAD – Hohe Kritikalität
Diese beiden neuen Schwachstellen wurden mit CVSS-Scores von 7,7 bis 8,6 als hoch kritisch eingestuft (Korrektur mit hoher Priorität). Die Bewertungen sind durch die Arten von Angriffen gerechtfertigt, die durch den Missbrauch dieser beiden Schwachstellen möglich sind. Sie reichen von der Verweigerung von Diensten bis hin zum Diebstahl oder der Änderung von Benutzerdaten durch Angriffe auf einen verwundbaren HTTP-Server. Es ist erwähnenswert, dass wie bei den ursprünglichen ICMAD-Schwachstellen alle diese Angriffe über Fernzugriff und ohne Authentifizierung möglich sind.
Hintergrund der ICMAD-Schwachstellen
Im Februar 2022 veröffentlichte SAP Patches für drei Sicherheitslücken, die das ICM betrafen und sehr kritisch waren. Diese Schwachstellen wurden von Onapsis aufgrund ihrer Bedeutung und des erhöhten Risikos, das Unternehmen zur sofortigen Behebung benötigen, als ICMAD bezeichnet. ICMAD zeichnete sich damals durch die Komplexität dieser Schwachstellen aus, die in einigen Fällen direkt auf dem HTTP-Server ausgenutzt werden konnten, während in anderen Szenarien ein zwischengeschalteter Proxy für die Desynchronisierung erforderlich war.
Die beiden jüngsten Schwachstellen weisen einige Parallelen zu ICMAD auf, da die Angriffe sehr ähnlich sind und auch die Auswirkungen ähnlich sind. Nicht jeder liebt Fortsetzungen, aber man könnte diese Sicherheitslücken als ICMAD2 betrachten.
Da die Hinweise auf die Schwachstellen noch nicht lange zurückliegen, haben die Onapsis Research Labs (ORL) noch keine aktive Ausnutzung festgestellt. Im Allgemeinen beobachtet das ORL jedoch in der Woche nach dem Patch Tuesday eine erhöhte Aktivität. Darüber hinaus ist zu beachten, dass der vorherige Satz von ICMAD-Schwachstellen im Jahr 2022 von der CISA aufgrund aktiver Ausnutzung in den Catalog of Known Exploited Vulnerabilities aufgenommen wurde. Daher rechnet ORL in den kommenden Wochen nach der Veröffentlichung der Patches für diese Schwachstellen mit einer hohen Wahrscheinlichkeit potenzieller Bedrohungsaktivitäten. Wie immer wird ORL auch weiterhin alle erhöhten Exploit-Aktivitäten im Auge behalten und diesen Bereich entsprechend aktualisieren.
Bin ich betroffen?
Da das ICM für eine Vielzahl von SAP-Produkten von zentraler Bedeutung ist, ist es mehr als wahrscheinlich, dass eine große Anzahl von Unternehmen potenziell betroffen ist. Diese Schwachstellen betreffen beispielsweise eine große Anzahl von SAP-Produkten, die das ICM verwenden, wie SAP S/4HANA, SAP ERP, SAP Web Dispatcher und SAP HANA – um nur einige zu nennen. Technisch gesehen sind alle Produkte betroffen, die auf SAP NetWeaver ABAP, SAP Web Dispatcher, SAP HANA XS und XSA aufsetzen. Da der SAP NetWeaver Application Server for Java HTTP/2 nicht unterstützt, sind diese beiden neuen Schwachstellen für kein Produkt, das auf NetWeaver Java basiert, relevant.
Onapsis trägt weiterhin zur SAP-Sicherheit bei
Diese beiden Schwachstellen wurden von den Onapsis Research Labs an SAP gemeldet. Dies ist das Ergebnis unserer kontinuierlichen Bemühungen, die allgemeine Sicherheit von SAP-Produkten zu verbessern und damit SAP-Kunden zu schützen. Die daraus resultierenden Korrekturen wurden in den folgenden SAP-Sicherheitshinweisen am 11. Juli 2023 veröffentlicht:
3233899 – [CVE-2023-33987] Anforderungsschmuggel und Anforderungsverkettungsschwachstelle in SAP Web Dispatcher
3340735 – [CVE-2023-35871] Verwundbarkeit durch Speicherkorruption in SAP Web Dispatcher
Dies ist ein weiterer Beweis dafür, wie wichtig engagierte Sicherheitsforschung ist, um die Sicherheit von geschäftskritischen Anwendungen wie SAP zu verbessern, und wie die starke Partnerschaft zwischen SAP und Onapsis Unternehmen die bestmöglichen Ergebnisse mit sicheren Anwendungen und erstklassigen Produkten liefert. Vielen Dank an das SAP PSRT-Team für die weitere Zusammenarbeit.
Abhilfemaßnahmen und Empfehlungen für ICMAD2
Trotz der oben erwähnten Kritikalität dieser beiden Schwachstellen gibt es bei diesen Schwachstellen auch einen Lichtblick, der bei anderen nicht immer möglich ist. Da diese Schwachstellen die HTTP/2-Implementierung des ICM betreffen, gelten Anwendungen, die HTTP/2 nicht aktiviert haben, als nicht anfällig für CVE-2023-33987 und CVE-2023-35871.
Aus diesem Grund besteht eine Umgehungslösung zur Abschwächung dieser Schwachstellen darin, einfach die Unterstützung für HTTP/2 in den betroffenen Anwendungen zu deaktivieren. Dies kann Auswirkungen auf die Leistung haben (die von SAP in den veröffentlichten SAP-Sicherheitshinweisen mit ca. 20 % angegeben werden), sollte aber funktional gleichwertig mit HTTP/2 bleiben.
Um die Unterstützung für HTTP/2 zu deaktivieren, sollte der Profilparameter icm/HTTP/support_http2 auf FALSE gesetzt werden. Der Ort dieser Konfiguration hängt von dem betroffenen Produkt ab (d. h. für den ICM in SAP NetWeaver ABAP sollte er im DEFAULT-Profil konfiguriert werden).
Andernfalls empfiehlt ORL, dass alle Unternehmen, insbesondere diejenigen, die ICM mit HTTP/2 verwenden, der Behebung dieser beiden Schwachstellen Priorität einräumen sollten, sobald dies realistisch möglich ist.
Source: Onapsis-Blog
Sie haben Fragen? Ihr Ansprechpartner für D/A/CH
Do you have any questions? Your contact person for D/A/CH
Fachartikel

ETH-Forschende entdecken neue Sicherheitslücke in Intel-Prozessoren

Sicherheitskontrollen im Wandel: Warum kontinuierliche Optimierung zur proaktiven Abwehr und einem stabilen Sicherheitsmanagement gehört

Massives Datenleck: 200 Milliarden Dateien in Cloud-Speichern öffentlich zugänglich

Windows 10: Mai-Update führt zu BitLocker-Wiederherstellungsschleife

Advanced NPM Supply-Chain Attack kombiniert Unicode-Steganografie mit Google Kalender als C2-Kanal
Studien

Princeton-Forscher warnen vor fatalen KI-Angriffen im Web3-Umfeld

Führungskräfte ohne KI-Wissen? Gartner-Umfrage offenbart Sorgen der CEOs

Schweigen über KI-Erfolge: Was eine neue Ivanti-Studie offenbart

IBM treibt den Einsatz generativer KI in Unternehmen mit hybrider Technologie voran

Weltweite Umfrage: Mehrheit der Technologieverantwortlichen spricht sich für Robotik im Arbeitsumfeld aus
Whitepaper

TeleTrusT legt aktualisiertes Positionspapier „Cyber-Nation“ vor

Sechs entscheidende Tipps für den erfolgreichen Einsatz von cIAM-Lösungen

Wie die Datenverwaltung Wachstum und Compliance fördert

Group-IB präsentiert die zehn gefährlichsten Cybergruppen 2025

Cyberkriminelle nehmen 2025 verstärkt das Gesundheitswesen ins Visier
Hamsterrad-Rebell

Insider – die verdrängte Gefahr

Sicherer SAP-Entwicklungsprozess: Onapsis Control schützt vor Risiken

Das CTEM-Framework navigieren: Warum klassisches Schwachstellenmanagement nicht mehr ausreicht

Cybersicherheit im Mittelstand: Kostenfreie Hilfe für Unternehmen
