
Wenn das Risiko des Ganzen größer ist als die Summe seiner Teile
Am 11. April 2023 veröffentlichte SAP im Rahmen der regelmäßigen Kadenz von Sicherheits-Patches den Patch für eine weitere Sicherheitslücke, die von Pablo Artuso von Onapsis Research Labs identifiziert wurde: CVE-2023-28761. Es mag den Anschein haben, dass es sich bei den Sicherheits-Patches um die übliche Vorgehensweise handelt, aber lassen Sie mich erklären, warum dies meiner Meinung nach nicht der Fall ist.
Alle Schwachstellen sind wichtig, und viele Unternehmen verwenden unterschiedliche Mechanismen, um die Reaktionszeit für die Anwendung von Sicherheits-Patches zur Behebung dieser Schwachstellen zu definieren. Ein umfassenderer Ansatz wie SSVC ist zwar nützlich, aber in den meisten Fällen ist CVSS der wichtigste Faktor für die Reaktionszeit.
CVE-2023-28761 selbst hat eine CVSS v3-Einstufung von 6,5, was einer mittleren Kritikalität* entspricht, und Unternehmen neigen dazu, diese mittleren Schwachstellen mit einer geringeren Dringlichkeit zu patchen. Hier wird es jedoch interessanter: Diese Schwachstelle kann von entfernten, nicht authentifizierten Angreifern ausgenutzt werden, um letztlich eine andere Reihe kritischerer Schwachstellen zu missbrauchen, die bereits von SAP gepatcht wurden:
Vulnerability Details | CVSS | CVE | Security Note |
SQL Injection and DoS in SearchFacade P4 Service | 9.9 | CVE-2022-41272 | 3273480 |
DoS and OS File Arbitrary read in locking P4 Service | 9.9 | CVE-2023-23857 | 3252433 |
RFC execution and Plain password leak in rfcengine P4 Service | 9.4 | CVE-2023-0017 | 3268093 |
SQL Injection and DoS in JobBean P4 service | 9.4 | CVE-2022-41271 | 3267780 |
Information Disclosure in Cache P4 service | 5.3 | CVE-2023-26460 | 3288096 |
Information Disclosure in Classload P4 service | 5.3 | CVE-2023-24526 | 3288394 |
Information Disclosure in Object Analyzing P4 service | 5.3 | CVE-2023-27268 | 3288480 |
Alles in allem können also Sicherheitslücken, die an sich nicht über das Internet zugänglich sind, von einem Angreifer ausgenutzt werden, indem er eine Sicherheitslücke mit mittlerem Schweregrad ausnutzt, wodurch die gesamte Gruppe von Sicherheitslücken letztlich zu einer solchen wird:
- Aus der Ferne ausnutzbar
- Unauthentifiziert
- Zugänglich über das HTTP-Protokoll (möglicherweise über das Internet)
- Erhöhte, kritische Auswirkungen auf das System
Verkettung von Schwachstellen
Das Kombinieren von Schwachstellen (vor allem aber von Exploits) wird als Exploit-Kettenbildung bezeichnet und ist keine neue Taktik für raffinierte Bedrohungsakteure. In der Vergangenheit haben die Onapsis Research Labs häufig über unsere Beobachtungen berichtet, dass Angreifer verschiedene Schwachstellen nutzen, um verschiedene Ziele zu erreichen, mit dem letztendlichen Ziel, die Unternehmensdaten zu kompromittieren.
Da ein Bedrohungsakteur die Möglichkeit hat, diese Familie von Schwachstellen miteinander zu verknüpfen, um letztlich breitere, kritischere Auswirkungen zu erzielen, bezeichnen die Onapsis Research Labs diese Familie von CVE(s) gemeinsam als „P4CHAINS“, die alle in diesem Blogpost erwähnten CVE(s) umfasst.
Nächste Schritte zum Schutz vor P4CHAINS
Die Tatsache, dass ein Angreifer diese Schwachstellen ausnutzen kann, um eine tiefere Kompromittierung von Geschäftsanwendungen zu erreichen, unterstreicht die Notwendigkeit, die Schwachstellen und die entsprechenden Sicherheitshinweise, sobald sie veröffentlicht werden, weiterhin aufmerksam zu verfolgen, um die Reaktion auf einer monatlichen Basis zu steuern. Für sich genommen ist die Auswirkung von CVE-2023-28761 gering, aber das Potenzial für eine Erhöhung des Risikos ist aufgrund der Möglichkeit der Kombination und Verkettung dieser Schwachstelle mit der größeren P4CHAINS-Familie höher.
Zumindest zeigt P4CHAINS vor allem (und einfacher) Folgendes auf
- Es ist wichtig, Patches anzuwenden
- Es ist wichtig, Patches rechtzeitig einzuspielen
- Es ist wichtig, dass Patches rechtzeitig für alle Anwendungen angewendet werden.
In vielen Fällen ist die CVSS-Bewertung von Schwachstellen eine nützliche Kennzahl. Denken Sie jedoch daran, dass diese Bewertungen keine absoluten Wegweiser sind, und dass es für Unternehmen entscheidend ist, Zugang zu aktuellen Bedrohungsdaten zu haben, um besser zu verstehen, was ausgenutzt wird, welche Arten von Risiken mit höherer Priorität als üblich behandelt werden sollten und wie Sie letztendlich die kostbare Zeit und Arbeitslast Ihres Teams am besten priorisieren. Andernfalls entsteht ein Risiko aus dem Ganzen, das wesentlich größer ist als die Summe seiner Teile.
Source: Onapsis-Blog
Fachartikel

ETH-Forschende entdecken neue Sicherheitslücke in Intel-Prozessoren

Sicherheitskontrollen im Wandel: Warum kontinuierliche Optimierung zur proaktiven Abwehr und einem stabilen Sicherheitsmanagement gehört

Massives Datenleck: 200 Milliarden Dateien in Cloud-Speichern öffentlich zugänglich

Windows 10: Mai-Update führt zu BitLocker-Wiederherstellungsschleife

Advanced NPM Supply-Chain Attack kombiniert Unicode-Steganografie mit Google Kalender als C2-Kanal
Studien

Princeton-Forscher warnen vor fatalen KI-Angriffen im Web3-Umfeld

Führungskräfte ohne KI-Wissen? Gartner-Umfrage offenbart Sorgen der CEOs

Schweigen über KI-Erfolge: Was eine neue Ivanti-Studie offenbart

IBM treibt den Einsatz generativer KI in Unternehmen mit hybrider Technologie voran

Weltweite Umfrage: Mehrheit der Technologieverantwortlichen spricht sich für Robotik im Arbeitsumfeld aus
Whitepaper

TeleTrusT legt aktualisiertes Positionspapier „Cyber-Nation“ vor

Sechs entscheidende Tipps für den erfolgreichen Einsatz von cIAM-Lösungen

Wie die Datenverwaltung Wachstum und Compliance fördert

Group-IB präsentiert die zehn gefährlichsten Cybergruppen 2025

Cyberkriminelle nehmen 2025 verstärkt das Gesundheitswesen ins Visier
Hamsterrad-Rebell

Insider – die verdrängte Gefahr

Sicherer SAP-Entwicklungsprozess: Onapsis Control schützt vor Risiken

Das CTEM-Framework navigieren: Warum klassisches Schwachstellenmanagement nicht mehr ausreicht

Cybersicherheit im Mittelstand: Kostenfreie Hilfe für Unternehmen
