Ernstig lek in SAP Netweaver maakt overnemen van systemen mogelijk

[Captain Kirk]

Softwarebedrijf SAP heeft een ernstige kwetsbaarheid verholpen die in elke SAP-applicatie aanwezig is die van de SAP NetWeaver Java software stack gebruikmaakt. Het beveiligingslek (CVE-2020-6287) is op een schaal van 1 tot en met 10 wat betreft de ernst met een 10 beoordeeld en maakt het mogelijk voor aanvallers om systemen op afstand over te nemen. Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid verwacht dat er op korte termijn misbruik van de kwetsbaarheid zal worden gemaakt.

SAP Netweaver is een platform voor het draaien van SAP-applicaties. De nu verholpen kwetsbaarheid was aanwezig in de LM Configuration Wizard van de SAP NetWeaver Application Server voor Java. Door een gebrek aan authenticatie is het voor een ongeauthenticeerde aanvaller mogelijk om bij SAP-applicaties die op de SAP NetWeaver Application Server voor Java draaien commando's met rechten van het SAP service user account uit te voeren en "high-privileged" gebruikers aan te maken, waardoor er onbeperkte toegang tot het SAP-systeem kan worden verkregen. Verdere technische details zijn nog niet openbaar gemaakt.

Het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security, waarschuwt dat de kwetsbaarheid standaard aanwezig is in SAP-applicaties die op de SAP NetWeaver Application Server voor Java draaien. Het gaat onder andere om de SAP Enterprise Portal, SAP ERP, SAP S/4HANA en SAP CRM.

"Veel SAP applicaties zijn volgens goed gebruik niet publiek toegankelijk. SAP Enterprise Portal is vanwege zijn functie wel publiek toegankelijk. Indien SAP Enterprise Portal geïmplementeerd is op de Netweaver AS, is de kwetsbaarheid dus mogelijk op afstand uit te buiten", laat het NCSC weten. De organisatie merkt op dat er nog geen direct misbruik is waargenomen, maar misbruik wel zeer binnenkort wordt verwacht.

De kwetsbaarheid werd gevonden door securitybedrijf Onapsis. Het bedrijf laat aan Threatpost weten dat het minstens 2500 systemen met SAP-applicaties heeft gevonden die vanaf het internet toegankelijk zijn en risico lopen. De kwetsbaarheid is aanwezig in versies 7.30, 7.31, 7.40 en 7.50 van NetWeaver AS Java. Organisaties met publiek toegankelijke systemen wordt aangeraden om de update binnen 24 uur te installeren.

 

bron: security.nl