Die Rückkehr des ICMAD: Kritische Schwachstellen im Zusammenhang mit ICM über HTTP/2

Am 11. Juli 2023 veröffentlichte SAP nach einer fortlaufenden monatlichen Kadenz von Sicherheits-Patches Patches für zwei neue Schwachstellen (CVE-2023-33987 und CVE-2023-35871), die eine der kritischsten Komponenten von SAP-Anwendungen betreffen: den SAP Internet Communications Manager, auch bekannt als ICM. Wenn Ihnen das bekannt vorkommt, sollte es das auch. Letztes Jahr veröffentlichte Onapsis einen Bedrohungshinweis zu ICMAD, einer Reihe von kritischen Schwachstellen, die den ICM betreffen.

ICMAD – Hohe Kritikalität

Diese beiden neuen Schwachstellen wurden mit CVSS-Scores von 7,7 bis 8,6 als hoch kritisch eingestuft (Korrektur mit hoher Priorität). Die Bewertungen sind durch die Arten von Angriffen gerechtfertigt, die durch den Missbrauch dieser beiden Schwachstellen möglich sind. Sie reichen von der Verweigerung von Diensten bis hin zum Diebstahl oder der Änderung von Benutzerdaten durch Angriffe auf einen verwundbaren HTTP-Server. Es ist erwähnenswert, dass wie bei den ursprünglichen ICMAD-Schwachstellen alle diese Angriffe über Fernzugriff und ohne Authentifizierung möglich sind.

Hintergrund der ICMAD-Schwachstellen

Im Februar 2022 veröffentlichte SAP Patches für drei Sicherheitslücken, die das ICM betrafen und sehr kritisch waren. Diese Schwachstellen wurden von Onapsis aufgrund ihrer Bedeutung und des erhöhten Risikos, das Unternehmen zur sofortigen Behebung benötigen, als ICMAD bezeichnet. ICMAD zeichnete sich damals durch die Komplexität dieser Schwachstellen aus, die in einigen Fällen direkt auf dem HTTP-Server ausgenutzt werden konnten, während in anderen Szenarien ein zwischengeschalteter Proxy für die Desynchronisierung erforderlich war.

Die beiden jüngsten Schwachstellen weisen einige Parallelen zu ICMAD auf, da die Angriffe sehr ähnlich sind und auch die Auswirkungen ähnlich sind. Nicht jeder liebt Fortsetzungen, aber man könnte diese Sicherheitslücken als ICMAD2 betrachten.

Da die Hinweise auf die Schwachstellen noch nicht lange zurückliegen, haben die Onapsis Research Labs (ORL) noch keine aktive Ausnutzung festgestellt. Im Allgemeinen beobachtet das ORL jedoch in der Woche nach dem Patch Tuesday eine erhöhte Aktivität. Darüber hinaus ist zu beachten, dass der vorherige Satz von ICMAD-Schwachstellen im Jahr 2022 von der CISA aufgrund aktiver Ausnutzung in den Catalog of Known Exploited Vulnerabilities aufgenommen wurde. Daher rechnet ORL in den kommenden Wochen nach der Veröffentlichung der Patches für diese Schwachstellen mit einer hohen Wahrscheinlichkeit potenzieller Bedrohungsaktivitäten. Wie immer wird ORL auch weiterhin alle erhöhten Exploit-Aktivitäten im Auge behalten und diesen Bereich entsprechend aktualisieren.

Bin ich betroffen?

Da das ICM für eine Vielzahl von SAP-Produkten von zentraler Bedeutung ist, ist es mehr als wahrscheinlich, dass eine große Anzahl von Unternehmen potenziell betroffen ist. Diese Schwachstellen betreffen beispielsweise eine große Anzahl von SAP-Produkten, die das ICM verwenden, wie SAP S/4HANA, SAP ERP, SAP Web Dispatcher und SAP HANA – um nur einige zu nennen. Technisch gesehen sind alle Produkte betroffen, die auf SAP NetWeaver ABAP, SAP Web Dispatcher, SAP HANA XS und XSA aufsetzen. Da der SAP NetWeaver Application Server for Java HTTP/2 nicht unterstützt, sind diese beiden neuen Schwachstellen für kein Produkt, das auf NetWeaver Java basiert, relevant.

Onapsis trägt weiterhin zur SAP-Sicherheit bei

Diese beiden Schwachstellen wurden von den Onapsis Research Labs an SAP gemeldet. Dies ist das Ergebnis unserer kontinuierlichen Bemühungen, die allgemeine Sicherheit von SAP-Produkten zu verbessern und damit SAP-Kunden zu schützen. Die daraus resultierenden Korrekturen wurden in den folgenden SAP-Sicherheitshinweisen am 11. Juli 2023 veröffentlicht:

3233899 – [CVE-2023-33987] Anforderungsschmuggel und Anforderungsverkettungsschwachstelle in SAP Web Dispatcher
3340735 – [CVE-2023-35871] Verwundbarkeit durch Speicherkorruption in SAP Web Dispatcher

Dies ist ein weiterer Beweis dafür, wie wichtig engagierte Sicherheitsforschung ist, um die Sicherheit von geschäftskritischen Anwendungen wie SAP zu verbessern, und wie die starke Partnerschaft zwischen SAP und Onapsis Unternehmen die bestmöglichen Ergebnisse mit sicheren Anwendungen und erstklassigen Produkten liefert. Vielen Dank an das SAP PSRT-Team für die weitere Zusammenarbeit.

Abhilfemaßnahmen und Empfehlungen für ICMAD2

Trotz der oben erwähnten Kritikalität dieser beiden Schwachstellen gibt es bei diesen Schwachstellen auch einen Lichtblick, der bei anderen nicht immer möglich ist. Da diese Schwachstellen die HTTP/2-Implementierung des ICM betreffen, gelten Anwendungen, die HTTP/2 nicht aktiviert haben, als nicht anfällig für CVE-2023-33987 und CVE-2023-35871.

Aus diesem Grund besteht eine Umgehungslösung zur Abschwächung dieser Schwachstellen darin, einfach die Unterstützung für HTTP/2 in den betroffenen Anwendungen zu deaktivieren. Dies kann Auswirkungen auf die Leistung haben (die von SAP in den veröffentlichten SAP-Sicherheitshinweisen mit ca. 20 % angegeben werden), sollte aber funktional gleichwertig mit HTTP/2 bleiben.

Um die Unterstützung für HTTP/2 zu deaktivieren, sollte der Profilparameter icm/HTTP/support_http2 auf FALSE gesetzt werden. Der Ort dieser Konfiguration hängt von dem betroffenen Produkt ab (d. h. für den ICM in SAP NetWeaver ABAP sollte er im DEFAULT-Profil konfiguriert werden).

Andernfalls empfiehlt ORL, dass alle Unternehmen, insbesondere diejenigen, die ICM mit HTTP/2 verwenden, der Behebung dieser beiden Schwachstellen Priorität einräumen sollten, sobald dies realistisch möglich ist.

By JP Perez-Etchegoyen