Unmittelbar patchen: kritische Schwachstelle in SAP® ABAP Systems (CVE-2020-6262)

news vulnerability

Das SEC Consult Vulnerability Lab hat eine kritische Code-Injection-Schwachstelle (CVE-2020-6262), mit einem CVSSv3 Score von 9.9, in SAP® Service Data Download (ein Teil des SAP® Solution Manager Plugin ST-PI), identifiziert.

Foto von SAP Flaggen vor einem Bürogebäude - SEC Consult

Diese Schwachstelle betrifft sämtliche SAP® ABAP Systeme unter Verwendung der unten aufgeführten Komponenten. Eine Ausnutzung ist über das Netzwerk realisierbar und ermöglicht einem Angreifer beliebigen Code in die Applikation zu injizieren. Einhergehend kann die Applikationslogik und das Verhalten des SAP® Application Server ABAP vollständig manipuliert werden.

Der Impact ist als hoch kritisch einzustufen, da diese Schwachstelle u.A. folgende Angriffe ermöglicht:

  • Unautorisierte Ausführung von beliebigen Kommandos
  • Ausspähen beliebiger sensibler Daten
  • Denial of Service (DoS) Angriffe

In Anbetracht der Kritikalität empfehlen wir allen SAP®-Kunden unverzüglich Note 2835979 einzuspielen.

Im Rahmen des SEC Consult Responsible-Disclosure-Prozesses wurde diese Schwachstelle von den SEC Consult Researchern (Alexander Meier und Fabian Hagg) unmittelbar nach der Entdeckung am 20. April 2020 an SAP® kommuniziert. Detaillierte Informationen über die Schwachstelle selbst werden in Übereinkunft mit den entsprechenden Responsible-Disclosure-Guidelines der SAP® drei Monate nach Herausgabe der Patches veröffentlicht.

Wir möchten uns an dieser Stelle nochmals ausdrücklich für die Zusammenarbeit mit SAP®, insbesondere dem SAP® Product Security Response Team bedanken. Auf jegliche Anfragen wurde zeitnah reagiert und ein Patch am 12. Mai 2020 rasch zur Verfügung gestellt.

Title Code Injection Vulnerability in Service Data Download
Type Code Injection/Remote Code Execution
CVSS v3 Vector AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
CVSS v3 Score 9.9
CVE CVE-2020-6262
Affected Component SAP® Solution Tools Plug-In ST-PI
Affected Product SAP® Application Server ABAP, ST-PI versions- 2008_1_46C, 2008_1_620, 2008_1_640, 2008_1_700, 2008_1_710, 740
Available Patches https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=545396222 (Security Note 2835979)
  https://launchpad.support.sap.com/#/notes/2835979
   
Acknowledgement https://wiki.scn.sap.com/wiki/display/PSR/Acknowledgments+to+Security+Researchers
Release date patch 2020-05-12
Planned release date for detailed advisory 2020-08-12