Diese Schwachstelle betrifft sämtliche SAP® ABAP Systeme unter Verwendung der unten aufgeführten Komponenten. Eine Ausnutzung ist über das Netzwerk realisierbar und ermöglicht einem Angreifer beliebigen Code in die Applikation zu injizieren. Einhergehend kann die Applikationslogik und das Verhalten des SAP® Application Server ABAP vollständig manipuliert werden.
Der Impact ist als hoch kritisch einzustufen, da diese Schwachstelle u.A. folgende Angriffe ermöglicht:
- Unautorisierte Ausführung von beliebigen Kommandos
- Ausspähen beliebiger sensibler Daten
- Denial of Service (DoS) Angriffe
In Anbetracht der Kritikalität empfehlen wir allen SAP®-Kunden unverzüglich Note 2835979 einzuspielen.
Im Rahmen des SEC Consult Responsible-Disclosure-Prozesses wurde diese Schwachstelle von den SEC Consult Researchern (Alexander Meier und Fabian Hagg) unmittelbar nach der Entdeckung am 20. April 2020 an SAP® kommuniziert. Detaillierte Informationen über die Schwachstelle selbst werden in Übereinkunft mit den entsprechenden Responsible-Disclosure-Guidelines der SAP® drei Monate nach Herausgabe der Patches veröffentlicht.
Wir möchten uns an dieser Stelle nochmals ausdrücklich für die Zusammenarbeit mit SAP®, insbesondere dem SAP® Product Security Response Team bedanken. Auf jegliche Anfragen wurde zeitnah reagiert und ein Patch am 12. Mai 2020 rasch zur Verfügung gestellt.