P4CHAINS Sicherheitslücken

14. April 2023

Wenn das Risiko des Ganzen größer ist als die Summe seiner Teile

Am 11. April 2023 veröffentlichte SAP im Rahmen der regelmäßigen Kadenz von Sicherheits-Patches den Patch für eine weitere Sicherheitslücke, die von Pablo Artuso von Onapsis Research Labs identifiziert wurde: CVE-2023-28761. Es mag den Anschein haben, dass es sich bei den Sicherheits-Patches um die übliche Vorgehensweise handelt, aber lassen Sie mich erklären, warum dies meiner Meinung nach nicht der Fall ist.

Alle Schwachstellen sind wichtig, und viele Unternehmen verwenden unterschiedliche Mechanismen, um die Reaktionszeit für die Anwendung von Sicherheits-Patches zur Behebung dieser Schwachstellen zu definieren. Ein umfassenderer Ansatz wie SSVC ist zwar nützlich, aber in den meisten Fällen ist CVSS der wichtigste Faktor für die Reaktionszeit.

CVE-2023-28761 selbst hat eine CVSS v3-Einstufung von 6,5, was einer mittleren Kritikalität* entspricht, und Unternehmen neigen dazu, diese mittleren Schwachstellen mit einer geringeren Dringlichkeit zu patchen. Hier wird es jedoch interessanter: Diese Schwachstelle kann von entfernten, nicht authentifizierten Angreifern ausgenutzt werden, um letztlich eine andere Reihe kritischerer Schwachstellen zu missbrauchen, die bereits von SAP gepatcht wurden:

Alles in allem können also Sicherheitslücken, die an sich nicht über das Internet zugänglich sind, von einem Angreifer ausgenutzt werden, indem er eine Sicherheitslücke mit mittlerem Schweregrad ausnutzt, wodurch die gesamte Gruppe von Sicherheitslücken letztlich zu einer solchen wird:

• Aus der Ferne ausnutzbar
• Unauthentifiziert
• Zugänglich über das HTTP-Protokoll (möglicherweise über das Internet)
• Erhöhte, kritische Auswirkungen auf das System

Verkettung von Schwachstellen

Das Kombinieren von Schwachstellen (vor allem aber von Exploits) wird als Exploit-Kettenbildung bezeichnet und ist keine neue Taktik für raffinierte Bedrohungsakteure. In der Vergangenheit haben die Onapsis Research Labs häufig über unsere Beobachtungen berichtet, dass Angreifer verschiedene Schwachstellen nutzen, um verschiedene Ziele zu erreichen, mit dem letztendlichen Ziel, die Unternehmensdaten zu kompromittieren.

Da ein Bedrohungsakteur die Möglichkeit hat, diese Familie von Schwachstellen miteinander zu verknüpfen, um letztlich breitere, kritischere Auswirkungen zu erzielen, bezeichnen die Onapsis Research Labs diese Familie von CVE(s) gemeinsam als „P4CHAINS“, die alle in diesem Blogpost erwähnten CVE(s) umfasst.

Nächste Schritte zum Schutz vor P4CHAINS

Die Tatsache, dass ein Angreifer diese Schwachstellen ausnutzen kann, um eine tiefere Kompromittierung von Geschäftsanwendungen zu erreichen, unterstreicht die Notwendigkeit, die Schwachstellen und die entsprechenden Sicherheitshinweise, sobald sie veröffentlicht werden, weiterhin aufmerksam zu verfolgen, um die Reaktion auf einer monatlichen Basis zu steuern. Für sich genommen ist die Auswirkung von CVE-2023-28761 gering, aber das Potenzial für eine Erhöhung des Risikos ist aufgrund der Möglichkeit der Kombination und Verkettung dieser Schwachstelle mit der größeren P4CHAINS-Familie höher.

Zumindest zeigt P4CHAINS vor allem (und einfacher) Folgendes auf

• Es ist wichtig, Patches anzuwenden
• Es ist wichtig, Patches rechtzeitig einzuspielen
• Es ist wichtig, dass Patches rechtzeitig für alle Anwendungen angewendet werden.

In vielen Fällen ist die CVSS-Bewertung von Schwachstellen eine nützliche Kennzahl. Denken Sie jedoch daran, dass diese Bewertungen keine absoluten Wegweiser sind, und dass es für Unternehmen entscheidend ist, Zugang zu aktuellen Bedrohungsdaten zu haben, um besser zu verstehen, was ausgenutzt wird, welche Arten von Risiken mit höherer Priorität als üblich behandelt werden sollten und wie Sie letztendlich die kostbare Zeit und Arbeitslast Ihres Teams am besten priorisieren. Andernfalls entsteht ein Risiko aus dem Ganzen, das wesentlich größer ist als die Summe seiner Teile.

Source: Onapsis-Blog