SAP Remote Function Call (RFC) Schwachstellen im Jahr 2023

2007 stellte Mariano Nuñez, CEO und Mitbegründer von Onapsis, auf der Black Hat Europe mehrere Schwachstellen und Angriffe vor, die das RFC-Protokoll betreffen. Diese Präsentation wurde zu einem Aufruf an die Forschungsgemeinschaft, sich mit der Verbesserung der Sicherheit von SAP-Anwendungen und SAP-Protokollen zu befassen.

Am 29. Juni 2023 – sechzehn Jahre später – präsentierte Fabian Hagg, ein Sicherheitsforscher mit großer Erfahrung im Bereich SAP-Anwendungen, auf der TROOPERS-Konferenz in Heidelberg Details zu vier Schwachstellen, die das RFC-Protokoll betreffen. Es wird ihm zugeschrieben, diese Schwachstellen gemeldet zu haben, die von Angreifern verkettet und kombiniert werden können, um SAP-Anwendungen zu übernehmen, die das RFC-Protokoll verwenden.

SAP RFC-Schwachstellen

Die Präsentation von Fabian Hagg beinhaltete die Veröffentlichung eines Whitepapers mit Details zum RFC-Protokoll sowie einige Proof-of-Concept-Codes und Details zu den folgenden Sicherheitslücken:

CVE-2023-0014 (SAP-Sicherheitshinweis 3089413) – CVSS 9.8
CVE-2021-27610 (SAP-Sicherheitshinweis 3007182) – CVSS 9.8
CVE-2021-33677 (SAP Sicherheitshinweis 3044754) – CVSS 7.5
CVE-2021-33684 (SAP Sicherheitshinweis 3032624) – CVSS 5.3

Aufgrund der potenziellen Kritikalität der aufgedeckten Schwachstellen könnten ungeschützte SAP-Anwendungen von entfernten, nicht authentifizierten Angreifern kompromittiert werden, was die Integrität, Vertraulichkeit und Verfügbarkeit dieser Anwendungen beeinträchtigen könnte. Außerdem könnten Angreifer aufgrund der kritischen Natur der SAP-Anwendungen und ihrer Geschäftsprozesse Spionage (Zugriff auf Geschäftsinformationen), Sabotage (Unterbrechung von Geschäftsprozessen) oder Betrugsangriffe (Änderung von Geschäftsdaten) durchführen.

Behebung dieser Schwachstellen

Die Lösungen für die verschiedenen Schwachstellen sind vielfältig und umfassen sowohl Patches für den SAP-Kernel als auch ein Upgrade der SAP_BASIS-Softwarekomponente. In einigen Fällen ist beides erforderlich, so dass die Behebung dieser Sicherheitslücken Zeit und Vorbereitung erfordert. Einige dieser Patches wurden bereits vor zwei Jahren veröffentlicht, andere erst vor einigen Monaten, so dass es möglich ist, dass viele Unternehmen zumindest einige der Lösungen bereits implementiert haben. Dennoch ist es wichtig, Ihre Systeme auf diese Schwachstellen hin zu überprüfen, um sicherzustellen, dass Sie Ihre Software sowohl gepatcht als auch aktualisiert haben.

Ich empfehle Ihrem Team dringend, Ihre Systeme auf diese Schwachstellen hin zu überprüfen. Alle bestehenden Onapsis Assess-Kunden haben die Möglichkeit zu prüfen, ob die zugehörigen SAP-Sicherheitshinweise für ihre Systeme relevant sind und ob sie seit der Veröffentlichung der Hinweise angewendet wurden. Darüber hinaus erhalten Kunden, die das Threat Intel Center nutzen, ein Update mit Details zu dieser Untersuchung sowie eine Auflistung aller Systeme, die noch anfällig sind.

Source: Onapsis-Blog