NCKB SK-CERT varuje pred kritickou zraniteľnosťou v SAP produktoch

Národné centrum kybernetickej bezpečnosti dnes vydalo bezpečnostné varovanie na zraniteľnosť produktov spoločnosti SAP, označených CVE-2020-6287[1].

Spoločnosť SAP patrí medzi najväčších výrobcov softvérov vo svete. Jej produkty sú zamerané najmä na riadenie vzťahov so zákazníkmi, manažment dodávateľského reťazca, personalistiku, správu výdavkov a iné oblasti. Softvérové riešenia od spoločnosti SAP sú celosvetovo používané nie len v súkromnej, ale aj verejnej sfére.

Dňa 14. 07. 2020 vydala spoločnosť opravu na kritickú zraniteľnosť, ktorá postihuje väčšinu jej zákazníkov. Chybu, ktorá sa nazýva RECON, môže vzdialený útočník zneužiť prostredníctvom protokolu http na prevzatie kontroly nad dôveryhodnými SAP aplikáciami.

Na chybu upozornila spoločnosť Onapsis[2], ktorá varuje, že RECON umožňuje útočníkom vytvoriť používateľský účet SAP s maximálnymi oprávneniami na aplikácie SAP, čo umožňuje získať úplnú kontrolu nad systémom.

Táto zraniteľnosť sa dá veľmi ľahko zneužiť a nachádza sa v každej aplikácii SAP, na ktorej je spustený SAP NetWeaver Java od verzie 7.3 vyššie – konkrétne v časti Sprievodca konfiguráciou LM v serveri SAP NetWeaver Application Server (AS).

Technológia SAP NetWeaver AS for Java podporuje komponent SAP Portal, ktorý môže byť preto touto chybou postihnutý a je zvyčajne pripojený k internetu.

Komponent sa používa v niekoľkých najpopulárnejších produktoch SAP, vrátane SAP S / 4HANA, SAP SCM, SAP CRM, SAP CRM, SAP Enterprise Portal a SAP Solution Manager (SolMan).

Zasiahnuté sú rovnako aj ďalšie aplikácie SAP na ktorých je spustený SAP NeWeaver Java technology stack. Spoločnosť Onapsis uviedla, že pri vykonanom skenovaní objavili asi 2500 systémov SAP, ktoré boli voči tejto chybe zraniteľné.

Chyba RECON je jednou zo zriedkavých zraniteľností, ktoré dosiahli najvyššie CVSS skóre. V tomto prípade to znamená, že chyba a dá veľmi ľahko zneužiť a prostredníctvom nej sa dajú vykonávať vzdialené útoky.

Vzhľadom na kritickosť zraniteľnosti odporúča NCKB SK-CERT organizáciám aby okamžite:

  • Aktualizovali všetky SAP produkty najnovšími aktualizačnými balíkmi,
  • Vypli funkciu LM Configuration Wizard (odporúčaný krok),
  • Preverili bezpečnostné nastavenia SAP produktov,
  • Monitorovali systémy, najmä SAP aplikácie so zameraním sa na neštandardné správanie,
  • Vykonali kontrolu logov a systémov na nelegitímne vytvorených používateľov,
  • Zmenili heslá do dotknutých systémov a takisto aj do systémov, ktoré používali rovnaké heslá,
  • V prípade zistenia kybernetického bezpečnostného incidentu ihneď kontaktovať NCKB SK-CERT

[1] https://www.sk-cert.sk/threat/sk-cert-bezpecnostne-varovanie-v20200714-01/

[2] https://www.zdnet.com/article/recon-bug-lets-hackers-create-admin-accounts-on-sap-servers/


« Späť na zoznam