Solution Manager

Die Schwachstelle betrifft die Funktion User Experience Monitoring im SAP Solution Manager, einer zentralen Verwaltungs- und Überwachungsplattform für SAP-Systemlandschaften. Der zugrunde liegende Defekt ist eine fehlende Authentifizierungsprüfung: Für einen bestimmten Dienst wird keinerlei Anmeldung oder Berechtigungsprüfung verlangt, bevor er genutzt werden kann. Dadurch kann ein Angreifer diese kritische Funktion ohne gültige Zugangsdaten ansprechen. In der Folge lassen sich sämtliche SMDAgents – die Diagnose-Agenten, die zur Überwachung mit dem Solution Manager verbunden sind – vollständig übernehmen. Da diese Agenten auf den angebundenen, überwachten Systemen laufen, reicht die Tragweite weit über den Solution Manager selbst hinaus und erfasst potenziell die gesamte verwaltete SAP-Landschaft. Besonders kritisch ist, dass für den Angriff weder eine Anmeldung noch eine Benutzerinteraktion erforderlich ist.