
Wenn das Risiko des Ganzen größer ist als die Summe seiner Teile
Am 11. April 2023 veröffentlichte SAP im Rahmen der regelmäßigen Kadenz von Sicherheits-Patches den Patch für eine weitere Sicherheitslücke, die von Pablo Artuso von Onapsis Research Labs identifiziert wurde: CVE-2023-28761. Es mag den Anschein haben, dass es sich bei den Sicherheits-Patches um die übliche Vorgehensweise handelt, aber lassen Sie mich erklären, warum dies meiner Meinung nach nicht der Fall ist.
Alle Schwachstellen sind wichtig, und viele Unternehmen verwenden unterschiedliche Mechanismen, um die Reaktionszeit für die Anwendung von Sicherheits-Patches zur Behebung dieser Schwachstellen zu definieren. Ein umfassenderer Ansatz wie SSVC ist zwar nützlich, aber in den meisten Fällen ist CVSS der wichtigste Faktor für die Reaktionszeit.
CVE-2023-28761 selbst hat eine CVSS v3-Einstufung von 6,5, was einer mittleren Kritikalität* entspricht, und Unternehmen neigen dazu, diese mittleren Schwachstellen mit einer geringeren Dringlichkeit zu patchen. Hier wird es jedoch interessanter: Diese Schwachstelle kann von entfernten, nicht authentifizierten Angreifern ausgenutzt werden, um letztlich eine andere Reihe kritischerer Schwachstellen zu missbrauchen, die bereits von SAP gepatcht wurden:
Vulnerability Details | CVSS | CVE | Security Note |
SQL Injection and DoS in SearchFacade P4 Service | 9.9 | CVE-2022-41272 | 3273480 |
DoS and OS File Arbitrary read in locking P4 Service | 9.9 | CVE-2023-23857 | 3252433 |
RFC execution and Plain password leak in rfcengine P4 Service | 9.4 | CVE-2023-0017 | 3268093 |
SQL Injection and DoS in JobBean P4 service | 9.4 | CVE-2022-41271 | 3267780 |
Information Disclosure in Cache P4 service | 5.3 | CVE-2023-26460 | 3288096 |
Information Disclosure in Classload P4 service | 5.3 | CVE-2023-24526 | 3288394 |
Information Disclosure in Object Analyzing P4 service | 5.3 | CVE-2023-27268 | 3288480 |
Alles in allem können also Sicherheitslücken, die an sich nicht über das Internet zugänglich sind, von einem Angreifer ausgenutzt werden, indem er eine Sicherheitslücke mit mittlerem Schweregrad ausnutzt, wodurch die gesamte Gruppe von Sicherheitslücken letztlich zu einer solchen wird:
- Aus der Ferne ausnutzbar
- Unauthentifiziert
- Zugänglich über das HTTP-Protokoll (möglicherweise über das Internet)
- Erhöhte, kritische Auswirkungen auf das System
Verkettung von Schwachstellen
Das Kombinieren von Schwachstellen (vor allem aber von Exploits) wird als Exploit-Kettenbildung bezeichnet und ist keine neue Taktik für raffinierte Bedrohungsakteure. In der Vergangenheit haben die Onapsis Research Labs häufig über unsere Beobachtungen berichtet, dass Angreifer verschiedene Schwachstellen nutzen, um verschiedene Ziele zu erreichen, mit dem letztendlichen Ziel, die Unternehmensdaten zu kompromittieren.
Da ein Bedrohungsakteur die Möglichkeit hat, diese Familie von Schwachstellen miteinander zu verknüpfen, um letztlich breitere, kritischere Auswirkungen zu erzielen, bezeichnen die Onapsis Research Labs diese Familie von CVE(s) gemeinsam als „P4CHAINS“, die alle in diesem Blogpost erwähnten CVE(s) umfasst.
Nächste Schritte zum Schutz vor P4CHAINS
Die Tatsache, dass ein Angreifer diese Schwachstellen ausnutzen kann, um eine tiefere Kompromittierung von Geschäftsanwendungen zu erreichen, unterstreicht die Notwendigkeit, die Schwachstellen und die entsprechenden Sicherheitshinweise, sobald sie veröffentlicht werden, weiterhin aufmerksam zu verfolgen, um die Reaktion auf einer monatlichen Basis zu steuern. Für sich genommen ist die Auswirkung von CVE-2023-28761 gering, aber das Potenzial für eine Erhöhung des Risikos ist aufgrund der Möglichkeit der Kombination und Verkettung dieser Schwachstelle mit der größeren P4CHAINS-Familie höher.
Zumindest zeigt P4CHAINS vor allem (und einfacher) Folgendes auf
- Es ist wichtig, Patches anzuwenden
- Es ist wichtig, Patches rechtzeitig einzuspielen
- Es ist wichtig, dass Patches rechtzeitig für alle Anwendungen angewendet werden.
In vielen Fällen ist die CVSS-Bewertung von Schwachstellen eine nützliche Kennzahl. Denken Sie jedoch daran, dass diese Bewertungen keine absoluten Wegweiser sind, und dass es für Unternehmen entscheidend ist, Zugang zu aktuellen Bedrohungsdaten zu haben, um besser zu verstehen, was ausgenutzt wird, welche Arten von Risiken mit höherer Priorität als üblich behandelt werden sollten und wie Sie letztendlich die kostbare Zeit und Arbeitslast Ihres Teams am besten priorisieren. Andernfalls entsteht ein Risiko aus dem Ganzen, das wesentlich größer ist als die Summe seiner Teile.
Source: Onapsis-Blog
Fachartikel

Wie Unternehmen den Kernproblemen des Modern Workplace begegnen können

Angriffe auf Unternehmensdaten: Zwei Drittel aller Endpoints sind betroffen

Wie Sie die Datensicherheitsanforderungen Ihrer Kunden erfüllen

Welche Rolle spielt ein CISO bei einem Cyberangriff?

Hosted in Germany: Warum die deutsche Cloud immer noch die sicherste Wahl ist
Studien

Studie zeigt: Verbraucher fordern mehr Kontrolle über ihre Daten ein

Das Digital Trust-Paradox: Wichtig, aber keine Priorität

NETSCOUT nGenius Enterprise Performance Management erzielt eine Investitionsrendite (ROI) von 234 %

Studie offenbart, wie sich deutsche CISOs gegen Cyber-Kriminelle wehren können

Neue Studie: 35 Prozent der befragten Unternehmen vernachlässigen die Sicherheit beim Datenaustausch
Whitepaper

Zero Friction: die Zukunft der Sicherheit

Bundesverband IT-Sicherheit e.V. (TeleTrusT) veröffentlicht Leitfaden „Cloud Supply Chain Security“

„Security by Design“: Zukunftsfähiges Konzept für Informationssicherheit und Datenschutz im Produktlebenszyklus

19. Deutscher IT-Sicherheitskongress eröffnet – BSI informiert über Chancen und Risiken von KI-Sprachmodellen
