SecurityBridge enttarnt Supply Chain Vulnerability im SAP Transportwesen

SAP hat die Sicherheitslücke dank der Initiative des SAP-Security-Experten bereits im Oktober geschlossen.

Angriffe auf die Supply Chain sind eine neue Art von Bedrohung, die auf Softwareentwicklungsabteilungen und -lieferanten abzielt. SecurityBridge hat jetzt eine Methode identifiziert, die es internen Angreifern ohne privilegierte Berechtigungen ermöglicht, in den Prozess der SAP-Software-Verteilung unbemerkt einzugreifen. Die Vulnerability wurde im Oktober an SAP gemeldet, der entsprechende Patch ist bereits veröffentlicht, bestenfalls sogar schon im Kundensystem eingespielt.

Über die interne SAP-Development-Supply-Chain können Kunden Einfluss auf die Ergänzung des SAP-Standards um gewünschte Funktionen und Eigenentwicklungen nehmen. Solche Codierungs- und Repository-Änderungen werden über die verschiedenen Staging-Syteme der jeweiligen SAP-Landschaft mittels SAP-Transportaufträgen bereitgestellt. Die Transportdateien werden benötigt, um Änderungen von der Entwicklung bis zur nächsten Staging-Ebene physisch bereitzustellen. Die Aufträge dürfen nach ihrem Export aus dem zentralen Transportverzeichnis (welches sich Entwicklungs-, Test- und Integrations-Instanzen i.d.R. teilen) und ihrer Freigabe nicht mehr verändert werden.

Einschleusen von Schadcode in die SAP-Entwicklungsphase verhindern

Ende 2021 hatte SecurityBridge mittels seiner SAP Security-Plattform eine Methode entdeckt, die es internen Angreifern ohne privilegierte Berechtigungen ermöglicht, in diese SAP-Software-Supply-Chain einzudringen. Unmittelbar nach dem Export eines Transportauftrags (der die gewünschte Entwicklung enthält) und vor dem Import in das nachfolgende Staging-System existierte ein Zeitfenster, während dessen jemand mit betrügerischer Absicht und ausreichenden Berechtigungen den Status des Transportauftrags von „freigegeben“ auf „modifizierbar“ ändern und dadurch Schadcode in die SAP-Entwicklungsphase einschleusen hätte können – sogar in Transportaufträge, die bereits in das Testsystem importiert wurden. Der Inhalt des Transportauftrags konnte kurz vor dem Import in die Produktion unbemerkt geändert werden, um die Codeausführung zu ermöglichen.

Ivan Mans, CTO von SecurityBridge: „Solche Angriffe sind sehr effizient, insbesondere wenn sich die verschiedenen SAP-Staging-Systeme ein einziges Transportverzeichnis teilen. Ein Angriff auf die SAP-Development-Supply-Chain ist dadurch sehr einfach möglich.“ SAP hat den Patch im Sicherheitshinweis SNOTE 3097887– [CVE-2021-38178] Improper Authorization in SAP NetWeaver AS ABAP and ABAP Platform e im Rahmen des SAP Security Patch Day am 12. Oktober 2021 mit einer Hot News Priority (CVSS 9.1) bereitgestellt. Dadurch wird das Dateisystem vor Manipulation geschützt. Nur der Account erhält Zugriff, auf dem auch die SAP NetWeaver- oder S/4HANA-Anwendung läuft (das sogenannte <SID>ADM). „SAP-Kunden sollten das Transportprotokoll vor dem Produktionsimport auf Manipulationen prüfen. Darin wird die beschriebene Angriffsmethode sichtbar. Wer den CVSS 9.1-Hinweis implementiert hat, ist aber auf der sicheren Seite“, so Ivan Mans.