Upozorňujeme na zranitelnost aplikací SAP NetWeaver, která se nachází v komponentě NetWeaver AS JAVA (LM Configuration Wizard) ve verzích 7.30 až 7.50. Platforma je zranitelná skrze HTTP rozhraní přístupné z internetu, přes které umožňuje útočníkům vzdáleně spouštět v systému škodlivý kód s oprávněním servisího SAP účtu "adm" a získat privilegovaný přístup k databázi, tedy ke čtení a modifikaci citlivých účetních a bankovních informací.
Zranitelnost (CVE-2020-6287) má na škále CVSSv3 závažnost 10/10, jde zneužít vzdáleně a bez autentizace.
Proof-of-concept zranitelnosti ani konkrétní exploity prozatím nebyly zveřejněny, SAP již vydal opravnou aktualizaci. S odkazem na upozornění US DHS doporučujeme správcům systémů bezodkladně provést její instalaci. Pokud bezodkladná instalace není možná, důrazně doporučujeme omezit přímý přístup k aplikaci z internetu.
Aktualizace SAP je ke stažení na: https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552599675
Více informací o zranitelnosti:
https://us-cert.cisa.gov/ncas/alerts/aa20-195a
https://vuldb.com/?id.157874
https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-sap-products-could-allow-for-arbitrary-code-execution_2020-93/
https://www.helpnetsecurity.com/2020/07/14/cve-2020-6287/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6287