SAP: Authentifizierungs-Konzept mit Mängeln SAP
Die SAP ABAP Plattform bietet sogenannte Remote Function Calls , über die unter anderem auch Server mit anderen SAP-Systemen kommunizieren. Dabei gibt es ein proprietäres Authentifizierungssystem, über das diese dann ihre Identität und Berechtigung nachweisen. Genau darin deckte Hagg eine ganze Reihe von Schwachstellen auf, die einem Angreifer verschiedene Angriffe ermöglichen.
Das erinnert ein wenig an Windows-Netze, in denen die überalterten Authentifizierungs-Konzepte NTLM und Kerberos zum Einsatz kommen. Das Spektrum der möglichen Angriffe auf SAP ABAP reicht vom Ausspähen von Netzwerkverkehr bis zur Übernahme einer Identität etwa durch Replay-, Relay- oder Pass-the-Ticket-Angriffe.
. Selbst das Potenzial für einen SAP-Wurm sieht der Forscher gegeben, wenn die Patches nicht eingespielt sind.Um das zu fixen, hat SAP gleich eine ganze Reihe von Patches herausgegeben. Bereits 2021 erschienen CVE-2021-33677, CVE-2021-27610 und CVE-2021-33684, im Januar 2023 folgte schließlich CVE-2023-0014, das es richtig in sich hat. Nicht nur, dass es mit einem CVSS-Score von 9,8 als kritisch einzustufen ist, sondern auch, weil das Patchen keineswegs trivial ist.