<img height="1" width="1" style="display:none;" alt="" src="https://dc.ads.linkedin.com/collect/?pid=380018&amp;fmt=gif">

SAP MII Sicherheitslücke - Angreifer können gefährlichen Code in den Server einschleusen

by Tyler Constable

Published on 25.03.2021

SAP hat den Hinweis 3022622, 'Code Injection Vulnerability in SAP Manufacturing Integration and Intelligence (MII)', veröffentlicht.  

Zusammengefasst handelt es sich um ein Problem, bei dem ein Angreifer gefährlichen Code in den Server einschleusen kann. Überraschenderweise passiert dies durch die Erstellung von Dashboards.  MII-Dashboards können über die Self Service Composition Environment (SSCE) als JSP gespeichert werden. Diese Anfrage kann abgefangen und der JSP-Code kann kompromittiert werden. Wenn die Daten im Dashboard ausgeführt werden, wird der JSP-Code, der sich jetzt auf dem Server befindet, ausgeführt, um Betriebssystembefehle aufzurufen. Wie SAP in der Notiz schreibt ".... durch die ein Angreifer sensible Dateien auf dem Server lesen, Dateien ändern oder sogar Inhalte auf dem Server löschen kann, wodurch die Vertraulichkeit, Integrität und Verfügbarkeit des Servers, der die SAP MII-Anwendung hostet, kompromittiert wird."  

 

Um dies zu verhindern, hat SAP einen Fix über den Hinweis bereitgestellt, in dem die Möglichkeit, eine Datei als JSP über die SSCE zu speichern, nicht mehr verfügbar ist. Zum jetzigen Zeitpunkt gibt es laut SAP keine andere Möglichkeit, das Problem zu umgehen.


Wir bei Avantra arbeiten mit vielen Kunden aus der Fertigungsindustrie zusammen, die MII zusammen mit unserer Lösung als Teil ihres CVSS-Prozesses (Common Vulnerability Scoring System) verwenden, und wir möchten proaktiv sicherstellen, dass unsere MII-Kunden auf diese Sicherheitslücke aufmerksam gemacht werden.

 

Lesen Sie Avantra's Security Overview White Paper >>

 

Bei Avantra steht die Sicherheit immer an erster Stelle - sowohl für unsere Kunden als auch für uns.  Wir glauben nicht an Sicherheit durch Unklarheit. Wir fördern eine offene Kommunikation über mögliche Verletzungen und Sicherheitsbedenken.  

Unseren Blog abonnieren