Share
Beitragsbild zu P4CHAINS Sicherheitslücken

P4CHAINS Sicherheitslücken

Wenn das Risiko des Ganzen größer ist als die Summe seiner Teile

Am 11. April 2023 veröffentlichte SAP im Rahmen der regelmäßigen Kadenz von Sicherheits-Patches den Patch für eine weitere Sicherheitslücke, die von Pablo Artuso von Onapsis Research Labs identifiziert wurde: CVE-2023-28761. Es mag den Anschein haben, dass es sich bei den Sicherheits-Patches um die übliche Vorgehensweise handelt, aber lassen Sie mich erklären, warum dies meiner Meinung nach nicht der Fall ist.

Alle Schwachstellen sind wichtig, und viele Unternehmen verwenden unterschiedliche Mechanismen, um die Reaktionszeit für die Anwendung von Sicherheits-Patches zur Behebung dieser Schwachstellen zu definieren. Ein umfassenderer Ansatz wie SSVC ist zwar nützlich, aber in den meisten Fällen ist CVSS der wichtigste Faktor für die Reaktionszeit.

CVE-2023-28761 selbst hat eine CVSS v3-Einstufung von 6,5, was einer mittleren Kritikalität* entspricht, und Unternehmen neigen dazu, diese mittleren Schwachstellen mit einer geringeren Dringlichkeit zu patchen. Hier wird es jedoch interessanter: Diese Schwachstelle kann von entfernten, nicht authentifizierten Angreifern ausgenutzt werden, um letztlich eine andere Reihe kritischerer Schwachstellen zu missbrauchen, die bereits von SAP gepatcht wurden:

Vulnerability Details CVSS CVE Security Note
SQL Injection and DoS in SearchFacade P4 Service 9.9 CVE-2022-41272 3273480
DoS and OS File Arbitrary read in locking P4 Service 9.9 CVE-2023-23857 3252433
RFC execution and Plain password leak in rfcengine P4 Service 9.4 CVE-2023-0017 3268093
SQL Injection and DoS in JobBean P4 service 9.4 CVE-2022-41271 3267780
Information Disclosure in Cache P4 service 5.3 CVE-2023-26460 3288096
Information Disclosure in Classload P4 service 5.3 CVE-2023-24526 3288394
Information Disclosure in Object Analyzing P4 service 5.3 CVE-2023-27268 3288480

Alles in allem können also Sicherheitslücken, die an sich nicht über das Internet zugänglich sind, von einem Angreifer ausgenutzt werden, indem er eine Sicherheitslücke mit mittlerem Schweregrad ausnutzt, wodurch die gesamte Gruppe von Sicherheitslücken letztlich zu einer solchen wird:

  • Aus der Ferne ausnutzbar
  • Unauthentifiziert
  • Zugänglich über das HTTP-Protokoll (möglicherweise über das Internet)
  • Erhöhte, kritische Auswirkungen auf das System
Verkettung von Schwachstellen

Das Kombinieren von Schwachstellen (vor allem aber von Exploits) wird als Exploit-Kettenbildung bezeichnet und ist keine neue Taktik für raffinierte Bedrohungsakteure. In der Vergangenheit haben die Onapsis Research Labs häufig über unsere Beobachtungen berichtet, dass Angreifer verschiedene Schwachstellen nutzen, um verschiedene Ziele zu erreichen, mit dem letztendlichen Ziel, die Unternehmensdaten zu kompromittieren.

Da ein Bedrohungsakteur die Möglichkeit hat, diese Familie von Schwachstellen miteinander zu verknüpfen, um letztlich breitere, kritischere Auswirkungen zu erzielen, bezeichnen die Onapsis Research Labs diese Familie von CVE(s) gemeinsam als „P4CHAINS“, die alle in diesem Blogpost erwähnten CVE(s) umfasst.

Nächste Schritte zum Schutz vor P4CHAINS

Die Tatsache, dass ein Angreifer diese Schwachstellen ausnutzen kann, um eine tiefere Kompromittierung von Geschäftsanwendungen zu erreichen, unterstreicht die Notwendigkeit, die Schwachstellen und die entsprechenden Sicherheitshinweise, sobald sie veröffentlicht werden, weiterhin aufmerksam zu verfolgen, um die Reaktion auf einer monatlichen Basis zu steuern. Für sich genommen ist die Auswirkung von CVE-2023-28761 gering, aber das Potenzial für eine Erhöhung des Risikos ist aufgrund der Möglichkeit der Kombination und Verkettung dieser Schwachstelle mit der größeren P4CHAINS-Familie höher.

Zumindest zeigt P4CHAINS vor allem (und einfacher) Folgendes auf

  • Es ist wichtig, Patches anzuwenden
  • Es ist wichtig, Patches rechtzeitig einzuspielen
  • Es ist wichtig, dass Patches rechtzeitig für alle Anwendungen angewendet werden.

In vielen Fällen ist die CVSS-Bewertung von Schwachstellen eine nützliche Kennzahl. Denken Sie jedoch daran, dass diese Bewertungen keine absoluten Wegweiser sind, und dass es für Unternehmen entscheidend ist, Zugang zu aktuellen Bedrohungsdaten zu haben, um besser zu verstehen, was ausgenutzt wird, welche Arten von Risiken mit höherer Priorität als üblich behandelt werden sollten und wie Sie letztendlich die kostbare Zeit und Arbeitslast Ihres Teams am besten priorisieren. Andernfalls entsteht ein Risiko aus dem Ganzen, das wesentlich größer ist als die Summe seiner Teile.

Source: Onapsis-Blog

Firma zum Thema

onapsis

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden