Schwachstelle im Internet Communication Manager (ICM) von SAP-Produkten entdeckt

Schwachstelle im Internet Communication Manager (ICM) von SAP-Produkten entdeckt

Am 8. Februar 2022 wurde eine Schwachstelle im Internet Communication Manager (ICM) von diversen SAP-Produkten bekannt, die als CVE-2022-22536 registriert und mit einem CVSSv3-Score von 10 bewertet wurde.

SAP NetWeaver Application Server ABAP, SAP NetWeaver Application Server Java, ABAP Platform, SAP Content Server 7.53 und SAP Web Dispatcher sind für diese Schwachstelle anfällig, die Request Smuggling und Request Concatenation ermöglicht.

Besonders kritisch: Ein Angreifer kann ohne dass eine Authentifizierung erforderlich ist, eine modifizierte HTTP- oder HTTPS-Anfrage an ein anfälliges System senden. Dies ermöglicht dem Angreifer, Funktionen im Namen des Opfers auszuführen oder zwischengeschaltete Web-Caches zu infizieren.

Ein erfolgreicher Angriff könnte zu einer vollständigen Gefährdung der Vertraulichkeit, Integrität und Verfügbarkeit eines Systems bzw. zu einer vollständigen Systemübernahme führen.

Quellen: https://www.cvedetails.com/cve/CVE-2022-22536/

https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+-+February+2022

Unsere Handlungsempfehlungen:

- Auf dem SAP-Blog (https://blogs.sap.com/2022/02/11/remediation-of-cve-2022-22536-request-smuggling-and-request-concatenation-in-sap-netweaver-sap-content-server-and-sap-web-dispatcher/) finden Sie eine Übersicht an Empfehlungen zur Behebung dieser Schwachstelle für folgende betroffene Szenarien:

  • ABAP-Systeme oder SAP Content Server hinter SAP Web Dispatcher
  • ABAP-Systeme mit integriertem SAP Web Dispatcher
  • JAVA-Systeme hinter SAP Web Dispatcher
  • ABAP- oder JAVA-Systemsysteme oder SAP Content Server hinter Load Balancer / Reverse Proxy anderer Anbieter

- Die von SAP bereitgestellten Patches sollten zeitnah angewendet werden.

-Es existiert ein Python-Skript, mit dem überprüft werden kann, ob ein SAP-System von CVE-2022-22536 betroffen ist (https://pythonawesome.com/vulnerability-assessment-for-cve-2022-22536/)

 

Vorsicht vor Maulwurf: HYPERBRO-Schadsoftware spioniert deutsche Wirtschaftsunternehmen aus

Vorsicht vor Maulwurf: HYPERBRO-Schadsoftware spioniert deutsche Wirtschaftsunternehmen aus

Vorsicht vor Maulwurf: HYPERBRO-Schadsoftware spioniert deutsche Wirtschaftsunternehmen aus

Kürzlich erreichte uns ein Event mit der Bezeichnung ‚Autorun Keys Modification‘, das ein Registry-Eintrag ohne administrative Rechte ‚HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\windefenders‘ meldete. Dies erschien uns zunächst nicht ungewöhnlich. Unsere anschließende Analyse ergab jedoch, dass ein weiteres Event ‚Sysmon - Suspicious Process - svchost.exe‘ mit diesem Event in Verbindung stand und den Prozess ‚msiexec.exe‘ startete. Die Untersuchung der Hash-Informationen des Prozesses zeigte, dass dieser Prozess von der Hacker-Gruppe APT27 verwendet wird, um die HYPERBRO-Schadsoftware auszuführen. Zudem wurde eine Verbindung zu einem hartkodierten C2-IP-Adresse über dem TCP-Port 443 detektiert.

Bei HYPERBRO handelt es sich um ein Remote-Access-Tool (RAT), welches die legitime Software CyberArk mit abgelaufenem Zertifikat ausführt, um anschließend eine maliziöse DLL-Datei zu laden und bei der Ausführung des Payloads die Malware zu konfigurieren.

Weitere Recherchen führten uns zu dem aktuellen BfV Cyber-Brief, in dem auf dieses aktuelle Angriffsszenario hingewiesen wird. Laut Angaben von BfV kann nicht ausgeschlossen werden, dass die Akteure hinter HYPERBRO neben dem Diebstahl von Geschäftsgeheimnissen und geistigem Eigentum versuchen, die Netzwerke der (Unternehmens-)Kunden beziehungsweise von Dienstleistern zusätzlich zu infiltrieren (Supply-Chain-Angriff).

Die Bedrohungsakteure haben vor der Veröffentlichung Kenntnis über Schwachstellen der Software Zoho Manage Engine ADSelfService Plus (CVE-2021-40539) sowie in Microsoft Exchange Server 2013, 2016 und 2019 (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065) und haben diese als Einfallstor zur Auslieferung von HYPERBRO verwendet.

In unserem vorliegenden Fall haben wir unseren Kunden umgehend durch unser Team informiert, sodass gravierende Folgen vermieden werden konnten.

Unsere Handlungsempfehlungen:

- Es wird empfohlen, die eigenen Systeme auf Verbindungen zu folgenden externen IPs 104.168.236.46, 103.79.77.200 und 87.98.190.184 zu prüfen.

- Insbesondere sollte in Logdateien und aktiven Netzwerkverbindungen nach Verbindungen zu den externen Systemen mit den IPs 104.168.236.46, 103.79.77.200 und 87.98.190.184 gesucht werden.

- Da die bereitgestellten IPs durch den Akteur ggf. gewechselt werden, sollten wenn vorhanden historische Netzwerk-Logs (insbesondere seit Februar 2021) geprüft werden, um bereits in der Vergangenheit erfolgte Infektionen auszuschließen.

-Zudem kann, die vom BfV zur Verfügung gestellte Yara-Regel zur Identifikation des HYPERBRO Loader Shellcodes in der Datei thumb.dat und ggf. während der Ausführung in Memory verwendet werden, um nach einer Infektion durch HYPERBRO zu suchen.

 

Quelle: BfV Cyber-Brief Nr. 01/2022