Die Experten des SEC Consult Vulnerability Lab haben in SAP Service Data Download eine kritische Schwachstelle identifiziert. Diese betrifft sämtliche SAP ABAP Systeme, die den SAP Solution Manager Plugin ST-PI verwenden.
Am 12. Mai wurden von SAP mehrere Updates veröffentlicht, um kritische Sicherheitslücken zu beseitigen. SEC Consult entdeckte die Schwachstelle im SAP Service Data Download am 20. April 2020 und verständigte SAP im Rahmen des SEC Consult-Responsible-Disclosure-Prozesses sofort. In Zusammenarbeit mit dem SAP Product Security Response Team wurde die Lücke geschlossen und SAP stellte den Patch am 12. Mai 2020 zur Verfügung.
Eine Attacke kann über das Netzwerk durchgeführt werden, indem der Angreifer beliebigen Code in die Applikation injiziert. Damit ist eine vollständige Manipulation der Applikationslogik und des Verhaltens des SAP-Application-Servers ABAP möglich. Durch diese hochkritische Schwachstelle können unter anderem beliebige Kommandos unautorisiert ausgeführt, beliebige sensible Daten ausgespäht und Denial of Service (DoS)-Angriffe durchgeführt werden.
In Übereinkunft mit den entsprechenden Responsible-Disclosure-Guidelines von SAP werden detaillierte Informationen über die Schwachstelle selbst drei Monate nach Herausgabe der Patches veröffentlicht.
Weitere Details unter: https://sec-consult.com/blog/2020/05/unmittelbar-patchen-kritische-schwachstelle-in-sap-abap-systemen-cve-2020-6262/
