Schutz Ihrer SAP-Systeme vor neuen schwerwiegenden Schwachstellen im SAP Internet Communication Manager

Der Staub rund um die CVSSv3 10.0 Log4j Sicherheitslücke, die IT-Abteilungen rund um den Globus seit Dezember 2021 in Atem halten, hat sich noch nicht ganz gelegt, da taucht eine neue Gruppe von drei Sicherheitslücken auf, die den SAP Internet Communication Manager betreffen und als “ICMAD (Internet Communication Manager Advanced Desync)” zusammengefasst werden.

Diesmal sind zwar nur SAP-Kunden betroffen, aber diese sollten umgehend handeln, denn eine der neuen Sicherheitslücken hat auch diesmal die höchst mögliche CVSSv3 10.0 Basisbewertung.

Lesen Sie diesen Artikel, um mehr über die ICM-Sicherheitsschwachstellen zu erfahren und wie sie Ihre Systeme schützen können.

Warum sind die neuen SAP-Schwachstellen so kritisch?

Der SAP ICM ist eine der wichtigsten Komponenten des SAP NetWeaver Application Servers, da er die Verbindung zum Internet herstellt. Die Hauptaufgabe des ICM besteht darin, HTTP(S)-Anfragen serverseitig zu verarbeiten. Im SAP NetWeaver-Applikationsserver ist der ICM standardmäßig aktiv. Daher wird er typischerweise in Netzwerksicherheitszonen (als Teil des SAP Web Dispatchers) verwendet, um das Internet vom Applikationsserver zu trennen.

Die so genannten ICMAD (Internet Communication Manager Advanced Desync) Sicherheitslücken wurden von Onapsis Research Labs entdeckt und an SAP gemeldet: 

1. CVE-2022-22536 (CVSSv3 10.0)
2. CVE-2022-22532 (CVSSv3 8.1)
3. CVE-2022-22533 (CVSSv3 7.5)

SAP Note 3123396 beschreibt die Bedrohung als "die schlimmste Sicherheitslücke".  Wenn man sich den CVSS v3.0 Basisvektor ansieht, wird klar, warum er mit 10,0 bewertet wurde. Lassen Sie uns das schnell aufschlüsseln...

Die Sicherheitslücke:

• über das Netz ausnutzbar ist.
• hat eine geringe Angriffskomplexität.
• kann mit einer einfachen und einzigen HTTP-Anfrage ausgenutzt werden.
• erfordert keine Privilegien oder Benutzerinteraktionen.

Die Auswirkungen werden in allen drei Auswirkungsklassen als hoch eingestuft: Vertraulichkeit, Integrität und Verfügbarkeit. Das ist wirklich ein Worst-Case-Szenario - ein Angriff kann zu einem vollständig kompromittierten System führen.

Onapsis formuliert es in der Zusammenfassung seines Whitepapers so:

Daher sind ungepatchte SAP NetWeaver-Anwendungen (JAVA/ABAP), die über HTTP(S) erreichbar sind, für dieses kritische Problem anfällig, ebenso wie jede Anwendung, die hinter dem SAP Web Dispatcher sitzt, z. B. S/4HANA.

Was ist die Lösung für diese SAP-Sicherheitsschwachstellen?

Alle drei CVEs werden durch Patches für den SAP Kernel und den SAP Web Dispatcher behoben. Hinweis: 3123396 verweist ebenfalls auf einen Workaround, der jedoch nur als vorübergehende Lösung betrachtet werden kann. Die Kunden müssen so bald wie möglich patchen.

Wie trägt Avantra zur Verbesserung der SAP-Sicherheit bei?

Mit dem automatischen Download von SAP HotNews und der Auswertung zeigt Avantra alle gefährdeten Systeme in einer Liste an.

Die Benutzer können einfach das automatische SAP Kernel-Upgrade-Tool in Avantra verwenden. Laden Sie die aktualisierten Kernel-Pakete von SAP herunter, laden Sie sie in Avantra hoch, und die Kernel-Patch-Automatik sagt Ihnen, auf welches System sie angewendet werden kann.

Sie haben dann die Möglichkeit, das Kernel-Upgrade sofort durchzuführen oder es für einen späteren Zeitpunkt zu planen. Wenn Ihr SAP-System so konfiguriert ist, dass es das rollierende Kernel-Upgrade unterstützt, übernimmt Avantra auch diese Aufgabe.

Schnelles Reagieren auf SAP-Sicherheitsbedrohungen

In einer Welt der digitalen Transformation wird es immer wichtiger, schnell auf Sicherheitsbedrohungen zu reagieren. Wir bei Avantra glauben, dass intelligente Automatisierung der Schlüssel zum Betrieb sicherer SAP-Landschaften ist.

Erfahren Sie mehr darüber, wie Sie SAP-Sicherheitslücken verhindern können, in unserem Ebook. 

Erfahren Sie mehr darüber, wie Sie SAP-Sicherheitslücken verhindern können, in unserem Ebook.