Am 8. Februar 2022 wurde eine Schwachstelle im Internet Communication Manager (ICM) von diversen SAP-Produkten bekannt, die als CVE-2022-22536 registriert und mit einem CVSSv3-Score von 10 bewertet wurde.
SAP NetWeaver Application Server ABAP, SAP NetWeaver Application Server Java, ABAP Platform, SAP Content Server 7.53 und SAP Web Dispatcher sind für diese Schwachstelle anfällig, die Request Smuggling und Request Concatenation ermöglicht.
Besonders kritisch: Ein Angreifer kann ohne dass eine Authentifizierung erforderlich ist, eine modifizierte HTTP- oder HTTPS-Anfrage an ein anfälliges System senden. Dies ermöglicht dem Angreifer, Funktionen im Namen des Opfers auszuführen oder zwischengeschaltete Web-Caches zu infizieren.
Ein erfolgreicher Angriff könnte zu einer vollständigen Gefährdung der Vertraulichkeit, Integrität und Verfügbarkeit eines Systems bzw. zu einer vollständigen Systemübernahme führen.
Quellen: https://www.cvedetails.com/cve/CVE-2022-22536/
https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+-+February+2022
Unsere Handlungsempfehlungen:
– Auf dem SAP-Blog (https://blogs.sap.com/2022/02/11/remediation-of-cve-2022-22536-request-smuggling-and-request-concatenation-in-sap-netweaver-sap-content-server-and-sap-web-dispatcher/) finden Sie eine Übersicht an Empfehlungen zur Behebung dieser Schwachstelle für folgende betroffene Szenarien:
- ABAP-Systeme oder SAP Content Server hinter SAP Web Dispatcher
- ABAP-Systeme mit integriertem SAP Web Dispatcher
- JAVA-Systeme hinter SAP Web Dispatcher
- ABAP- oder JAVA-Systemsysteme oder SAP Content Server hinter Load Balancer / Reverse Proxy anderer Anbieter
– Die von SAP bereitgestellten Patches sollten zeitnah angewendet werden.
-Es existiert ein Python-Skript, mit dem überprüft werden kann, ob ein SAP-System von CVE-2022-22536 betroffen ist (https://pythonawesome.com/vulnerability-assessment-for-cve-2022-22536/)