Web Dispatcher 10/10, Log4j und Solman: SAP Security Patchday Februar 2022

Autor: Tobias Harmes | 8. Februar 2022

Am 08.02.2022 war wieder wie jeden zweiten Dienstag im Monat der SAP Security Patchday. Was sofort auffällt: allein acht Hinweise mit der höchsten Einstufung „Hot News“ und abseits von Log4j auch ein großes Loch im Webzugriff auf SAP Systeme.

SAP-Systeme mit Webzugriff

Diesmal waren 13 neue Hinweise dabei und fünf Updates von zuvor veröffentlichten Hinweisen. Im Gegensatz zum Januar fängt die Liste nicht mit Log4j an, sondern mit der Gefahr der vollständigen Übernahme alle NetWeaver ABAP Systeme. Hinweis 3123396 – [CVE-2022-22536] Request smuggling and request concatenation in SAP NetWeaver, SAP Content Server and SAP Web Dispatcher hat einen Score von 10 von 10. Betroffen sind alle NetWeaver-Systeme, bei denen der Zugriff durch einen Web Dispatcher oder eine andere von Web Cache erfolgt. Das dürfte für so ziemlich 100% der SAP-Systeme mit Webzugriff gelten, sofern sie nach den Best Practices aufgebaut worden sind.

Es besteht die Gefahr, dass eine bereits durchgeführte Anfrage missbraucht wird für eine manipulierte Anfrage. Mit der ich dann alles machen kann im System – daher die kritische Einschätzung. Es wird im Hinweis ein Workaround angeboten, man soll in einer Rewrite-Regel ein Connection-Close definieren. Aktuelle Web Dispatcher-Versionen beherrschen das ohne Downtime, für andere Web Caches (wie Apache oder Bluecoat) muss man das dann selbst herausfinden.

Das Beste hier: Das Kernel-Update einspielen.

Ganz viele SAP Systeme – Log4j Status

Log4j war ja schon im Dezember ein großes Thema und SAP hatte bereits zum Januar Patchday einen Sammelhinweis zur Verfügung gestellt: 3131047 – [CVE-2021-44228] Zentraler Sicherheitshinweis für Schwachstelle bei Remote-Ausführung von Code in Verbindung mit Komponente Apache Log4j 2 -> wenig verwunderlich mit einem CVSS-Score 10 von 10. Ich würde tendenziell eher über diesen Sammelhinweis, als über die Liste im Security Patchday gehen, weil im Sammelhinweis die Komponenten und Hinweise auf einen Blick zusammengefasst sind.

Ich hoffe ihr seid selbst gut vorangekommen beim Patchen eurer Systeme. Weiterhin eine nützliche Unterlage ist neben dem Sammelhinweis dazu auch das PDF-Dokument von SAP (hinter SAP Anmeldung), das immer noch aktualisiert wird: https://support.sap.com/content/dam/support/en_us/library/ssp/my-support/trust-center/sap-tc-01-5025.pdf

Hier ist mittlerweile auch eine lange Liste von Produkten, die als nicht betroffen markiert worden sind. Das könnte euch dabei helfen, noch weitere Systeme von eurer Review-Liste zu streichen. Laut dem Dokument gilt noch nicht alles als gepatcht, hat aber anscheinend dann zumindest einen Workaround.

Solman-Admin => SAP Admin vom Ganzen

Bei Experten gilt der Solution Manager schon lange nicht nur als mächtiges Werkzeug, sondern auch als großes Sicherheitsrisiko, jedenfalls wenn er nicht restriktiv berechtigt wird. Im Hinweis 3140940 – [CVE-2022-22544] Missing segregation of duties in SAP Solution Manager Diagnostics Root Cause Analysis Tools wird dann das Risiko beschrieben, dass Admin-Anwender des Solmans auf allen Systemen mit Diagnostics Agent (per Default alle SAP-Systeme) Programme ausführen und Dateien browsen können. Wer also Solman-Admin ist, hat auch Vollzugriff auf die gesamte SAP Landschaft. Das Update ist nach der Beschreibung auch nur eine Workaround, noch kein finaler Fix.