LĂĽcken der SAP-Authentifizierung

Die proprietäre Authentifizierung bei SAP ABAP wies eine Reihe von Lücken auf. Die hat SAP zwar mit Patches adressiert – doch das war wohl nur der Anfang.

In Pocket speichern vorlesen Druckansicht 4 Kommentare lesen

(Bild: nitpicker/Shutterstock.com)

Lesezeit: 3 Min.
Inhaltsverzeichnis

Die Unternehmens-Software SAP ist an vielen Stellen eine Black Box, über deren interne Funktionsweise nicht viel bekannt ist. Das bietet auch einen gewissen Schutz vor Angriffen – aber nur solange, bis sich jemand die Mühe macht, die proprietären Konzepte zu analysieren und nach Schwachstellen zu suchen. Genau das hat Fabian Hagg von Sec Consult getan und prompt Lücken aufgedeckt, die im schlimmsten Fall das Einschleusen und Ausführen von Code erlauben (RCE).

Nach einem über zweijährigen Disclosure Prozess hat der Konzern die von Hagg gemeldeten Lücken alle mit Patches geschlossen und der Forscher dokumentiert seine Erkenntnisse unter anderem in einem Whitepaper. Auf SAP-Admins kommt damit einen Menge Arbeit zu, denn nicht nur das Ausrollen der Patches erfordert einiges an Aufwand. Den Enthüllungen über diese Sicherheitslücken könnten noch weitere folgen.

Die SAP ABAP Plattform bietet sogenannte Remote Function Calls (RFCs), über die unter anderem auch Server mit anderen SAP-Systemen kommunizieren. Dabei gibt es ein proprietäres Authentifizierungssystem, über das diese dann ihre Identität und Berechtigung nachweisen. Genau darin deckte Hagg eine ganze Reihe von Schwachstellen auf, die einem Angreifer verschiedene Angriffe ermöglichen.

Das erinnert ein wenig an Windows-Netze, in denen die überalterten Authentifizierungs-Konzepte NTLM und Kerberos zum Einsatz kommen. Das Spektrum der möglichen Angriffe auf SAP ABAP reicht vom Ausspähen von Netzwerkverkehr bis zur Übernahme einer Identität etwa durch Replay-, Relay- oder Pass-the-Ticket-Angriffe. "Ein erfolgreicher Angriff kann zu einer vollständigen Kompromittierung des Systems führen" bilanziert Hagg im Blog von Sec Consult. Selbst das Potenzial für einen SAP-Wurm sieht der Forscher gegeben, wenn die Patches nicht eingespielt sind.

Um das zu fixen, hat SAP gleich eine ganze Reihe von Patches herausgegeben. Bereits 2021 erschienen CVE-2021-33677, CVE-2021-27610 und CVE-2021-33684, im Januar 2023 folgte schlieĂźlich CVE-2023-0014, das es richtig in sich hat. Nicht nur, dass es mit einem CVSS-Score von 9,8 als kritisch einzustufen ist, sondern auch, weil das Patchen keineswegs trivial ist.

Da die Updates recht tiefgreifende Änderungen am Design der Authentifizierung vornehmen, erfordern sie nicht nur eine (geplante) Downtime, sondern zusätzlich noch eine nachträgliche Umstellung eines Profilparameters (rfc/allowoldticket4tt = 'no'), um die Schutzwirkung zu entfalten. Dies muss jedoch koordiniert über alle ABAP-Server hinweg erfolgen, da es sonst zu Problemen im Zusammenspiel der Komponenten kommt. Trotzdem sollten SAP-Admins dieses Projekt schleunigst auf den Weg bringen, denn mit dem Wissen über die Schwachstellen werden auch die Angriffe kommen.

Hagg dokumentiert seine Erkenntnisse aus dem Forschungsprojekt nun schrittweise und wird dabei auch Tools und Proof-of-Concept-Demos zum Ausnutzen der einzelnen Schwachstellen veröffentlichen. Er hofft, damit den Grundstein dafür zu legen, dass sich mehr Menschen mit SAP-Security beschäftigen und mehr Licht in die noch weitgehend unerforschten Konzepte und Protokolle bringen. Einen echten Exploit, der die einzelnen Bausteine zu einem erfolgreichen Angriff zusammenschaltet, wird er jedoch nicht liefern, erklärte Hagg gegenüber heise Security.

(ju)