Sicherheitslücke im SAP NetWeaver AS Java ermöglicht Angreifern die volle Kontrolle über SAP-Systeme – Reagieren Sie jetzt!

Kurzmitteilung | | @securityblog

SAST Blog: Sicherheitslücke im SAP NetWeaver AS Java ermöglicht Angreifern die volle Kontrolle über SAP-Systeme – Reagieren Sie jetzt!Seit kurzem ist bekannt, dass es eine der schwerwiegendsten Sicherheitslücken seit Jahren in aktuellen SAP-Produkten gibt, die den SAP Java-Applikationsserver nutzen – eine Konfigurationsoberfläche, die in vielen SAP-Systemen eingesetzt wird. Die Schwachstelle mit der offiziellen Bezeichnung CVE-2020-6287 ist auf einen Fehler im SAP NetWeaver Application Server zurückzuführen und wird als höchstkritisch eingestuft.

 

Angreifer können ohne Authentifizierung über das Netzwerk den Admin-Zugang zu den entsprechenden Systemen und zugleich Zugriff auf alle Java-Daten erhalten. Das betrifft nicht nur das SAP-Portal, sondern auch die SAP Process Orchestration/Integration, den Solution Manager sowie Systeme mit Java-Anbindung (SCM, CRM, SRM, BI). Schätzungen zufolge könnten etwa 40.000 SAP-Kunden betroffen sein. Im Web existiert bereits ein Demo-Exploit für die Sicherheitslücke.

Die Schwachstelle trägt den Namen RECON (CVE-2020-6287) – Multiple Vulnerabilities in SAP NetWeaver AS JAVA (LM Configuration Wizard).

Ein nicht authentifizierter Angreifer kann diese Schwachstelle über das Hypertext Transfer Protocol (HTTP) ausnutzen, um die Kontrolle über vertrauenswürdige SAP-Anwendungen zu übernehmen. Die SAP NetWeaver AS JAVA (LM-Konfigurationsassistent) Versionen – 7.30 – 7.50, führen keine Authentifizierungsprüfung durch. Es ermöglicht einem Angreifer, ohne vorherige Authentifizierung, Konfigurationsaufgaben auszuführen und kritische Aktionen gegen das SAP Java-System durchzuführen. So können administrative Benutzer angelegt und entsprechend die Vertraulichkeit, Integrität und Verfügbarkeit des Systems gefährdet werden.

Der Fehler wurde mit dem höchsten CSV-Index von 10 bewertet. Recon ist einfach und ohne technische Kenntnisse ausnutzbar, auch automatisierte Angriffe sind möglich.

Reagieren Sie sofort und spielen Sie den Patch so schnell wie möglich ein! 

Falls noch nicht geschehen installieren Sie umgehend das passende Sicherheitsupdate, das die SAP hat am 13. Juli 2020 EST zur Behebung dieser kritischen Sicherheitslücke veröffentlicht hat. Alternativ kann der entsprechende Dienst auch deaktiviert werden (siehe SAP-Sicherheitshinweis #2939665).