NetWeaver

Die Schwachstelle betrifft das sogenannte Invoker-Servlet auf den Java-basierten Plattformen des SAP NetWeaver Application Server. Dieses Servlet verlangt keine Authentifizierung, bevor es Anfragen verarbeitet – ein grundlegender Fehler in der Zugriffskontrolle. Dadurch kann ein Angreifer aus der Ferne und ohne jegliche Anmeldung über eine einfache HTTP- oder HTTPS-Anfrage beliebigen Code auf dem Server ausführen und so die Kontrolle über das System erlangen. Da NetWeaver als Basis vieler zentraler SAP-Geschäftsanwendungen dient, ist die betroffene Plattform häufig tief in die Unternehmens-IT eingebunden und verarbeitet sensible Geschäftsdaten. Diese als „Detour“ bezeichnete Angriffstechnik wurde nachweislich in der Praxis aktiv ausgenutzt, um sich unbefugt Zugriff auf verwundbare SAP-Systeme zu verschaffen. Besonders gefährdet sind über das Internet oder breite interne Netze erreichbare Server, bei denen das Invoker-Servlet nicht abgesichert ist.