Varsel: Potentiel udnyttelse af kritisk sårbarhed i SAP Netweaver, Content Server, Web Dispatcher

I forbindelse med it-sikkerhedskonferencen Black Hat USA blev der tidligere i august 2022 offentliggjort en detaljeret beskrivelse af en kritisk sårbarhed i flere SAP-produkter. Sårbarheden blev lukket med en opdatering fra SAP i februar 2022. Den amerikanske cybersikkerhedsmyndighed CISA har i august 2022 føjet sårbarheden til en liste over kendte sårbarheder, der udnyttes til cyber angreb.

CFCS er på nuværende tidspunkt (22. august 2022) ikke bekendt med, at sårbarheden udnyttes i angreb. Da der findes en detaljeret beskrivelse af sårbarheden samt én eller flere demonstrationer af, hvordan den kan udnyttes (proof of concept), er det imidlertid vigtigt at sikre sig, at man har installeret de seneste opdateringer fra SAP.

Ifølge SAP findes sårbarheden i SAP Netweaver, SAP Content Server og SAP Web Dispatcher.

SAP frigav en opdatering til produkterne i februar 2022.

Der er tale om en såkaldt "request smuggling"-sårbarhed. Det vil sige, at det er muligt at sende en forespørgsel til en sårbar applikation, som indeholder yderligere en indlejret, skjult og ondsindet forespørgsel.

Specifikt er det ifølge sikkerhedsanalytiker Martin Doyhenard fra Onapsis, som præsenterede sin analyse af sårbarheden på Black Har USA 2022, en fejl i den måde, SAP's Internet Communication Manager-modulet håndterer hukommelsesbuffere på, hvis en HTTP-forespørgsel er udformet på en bestemt måde og bruger mere end én buffer.

For at udnytte sårbarheden, skal en bruger lokkes til at besøge et websted, hvorfra den ondsindede forespørgsel kan sendes. Det kræver dog ikke yderligere handlinger fra brugeren end blot at besøge webstedet ifølge Martin Doyhenards analyse.

Derefter vil det i princippet være muligt at opnå fuld kontrol over den pågældende SAP-installation.

Yderligere information:

Black Hat USA 2022: Advanced Inter-Process Desynchronization in SAP’s HTTP Server

CISA adds seven known exploited vulnerabilites to catalog