SAPs Web Application Server anfällig für Cross-Site-Scripting
Der Sicherheitsdienstleister Cybsec meldet mehrere Cross-Site-Scripting-Lücken in SAPs Web Application Server, die unter anderem für Phishing-Angriffe ausnutzbar sein sollen.
Der Sicherheitsdienstleister Cybsec meldet mehrere Cross-Site-Scripting-Lücken in SAPs Web Application Server (WAS). Für die Fehler zeichnet die BSP-Runtime verantwortlich, die zur Darstellung von Dialogen in Web-Anwendungen dient. Durch die Fehler sind den Sicherheitsmeldungen Cybsecs zufolge HTTP-Response-Splitting, Phishing-Angriffe sowie das Einschleusen von JavaScript möglich.
Die Lücke, die ein HTTP-Response-Splitting zulässt, wird durch einen an die SAP-Exit-URL angehängten Parameter der Form %0a%0dHeader:+Wert sichtbar – die Zeichenkette wird als neuer Header interpretiert. Hierdurch lassen sich Anwendern fremde Seiten unterschieben. Die SAP-Exit-URL ließe sich laut Cybsec auch für Phishing-Angriffe nutzen, indem ein Angreifer ihr eine URL in der Form http%3a%2f%2f anhängt, also http:// in codierter Form. Wenn ein derartig präparierter Link in einer E-Mail angeklickt wird, wird das Opfer auf die angehängte Seite umgeleitet. Dies geschieht auch, wenn der Nutzer gar nicht am SAP WAS angemeldet war. In der Sicherheitsmeldung ist folgende Beispiel-URL aufgeführt:
Weitere Cross-Site-Scripting-Lücken sollen sich in den Fehlerseiten, dem syscmd-Parameter und in einer BSP-Testanwendung finden. Folgende URLs demonstrieren die Fehler:
http://sap-was/sap/bc/BSp/sap/menu/frameset.htm? sap-sessioncmd=open&sap-syscmd=%3C script%3Ealert('xss')%3C/script%3E
Betroffen von den Lücken sind die SAP Web Application Server in den Versionen 6.10, 6.20, 6.40 und 7.00. Das Walldorfer Vorzeigeunternehmen stellt für die betroffenen Server Patches zur Verfügung.
Siehe dazu auch:
- Security Advisory von Cybsec zum HTTP-Response-Splitting
- Security Advisory von Cybsec zu möglichen Phishing-Attacken
- Security Advisory von Cybsec über mehrere Cross-Site-Scripting-Lücken
- Whitepaper über HTTP-Response-Splitting von Packetstorm
(dmk)