Suchen

SAP Netweaver für remote Angriff anfällig Schwachstelle in SAP J2EE Engine entdeckt

| Redakteur: Peter Schmitz

Eine Schwachstelle bei der J2EE Engine des SAP Netweaver Portals ermöglicht es jedem remoten Angreifer mit Zugang zur Web-Schnittstelle des Portals, ein Benutzerkonto zu erstellen und dieses zu den Administratorgruppen zu transportieren. Das hat der russische Forscher Alexander Polyakov auf der BlackHat-Konferenz 2011 in Las Vegas enthüllt.

Firmen zum Thema

Eine Schwachstelle bei der J2EE Engine des SAP Netweaver Portals ermöglicht Angreifern ein Benutzerkonto mit Admin-Rechten zu erstellen.
Eine Schwachstelle bei der J2EE Engine des SAP Netweaver Portals ermöglicht Angreifern ein Benutzerkonto mit Admin-Rechten zu erstellen.
( Archiv: Vogel Business Media )

Der Angriff auf die J2EE Engine im SAP Netweaver Portal beruht auf einem unterbrochenen Authentifizierungsmechanismus, der nur für explizit genannte HTTP-Methoden gilt. Während die üblichen GET- und POST-Methoden normalerweise in einer Konfigurationsdatei verarbeitet werden, ist dies bei der HEAD-Methode selten der Fall. Folglich können durch diese Methode Anfragen unter Umgehung jeglicher Authentifizierungsmechanismen versendet werden.

Durch den Angriff ist jede SAP-Netweaver-Installation gefährdet. SAP hat noch keinen Patch zur Verfügung gestellt, so dass alle Netweaver-Plattformen einem potentiellen Angriff durch Nutzung dieser Schwachstelle ausgesetzt sind.

Die Sicherheitsexperten des Deny All Research Center (DjARC) empfehlen allen Kunden, die rWeb und sProxy zum Schutz der SAP Netweaver-Umgebungen nutzen, eine spezielle “Black List“ zu erstellen, um sicherzustellen, dass ihre Anwendungen gegen eine potentielle Nutzung dieser Schwachstelle geschützt sind. Version 4.0 von rWeb und sProxy erleichtern die Erstellung eines speziellen Filters, der jede andere Methode außer GET oder POST blockiert.

Außerdem hat sich das F&E-Team von Deny All entschlossen, im nächsten Feature Pack von rWeb 4.0 und sProxy 4.0 eine SAP Netweaver Security Policy zu erstellen, die diese Beschränkungen standardmäßig beinhaltet.

(ID:2052639)