Kriittinen haavoittuvuus SAP NetWeaverissa | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Kriittinen haavoittuvuus SAP NetWeaverissa

14. heinäkuuta 2020 klo 10.33, päivitetty 17. heinäkuuta 2020 klo 15.13

SAP on julkaissut kriittisen korjauspäivityksen SAP NetWeaver Application Server (AS) Java -ohjelmiston LM Configuration Wizard -komponenttiin. Haavoittuvuus mahdollistaa järjestelmän haltuunoton verkon yli tunnistautumatta HTTP-rajapintaa käyttäen. 

Haavoittuvuus koskee SAP-palveluita, jotka käyttävät SAP NetWeaver AS Java -ohjelmiston versioita välillä 7.3 - 7.5. 
Haavoittuvuuteen on 16.7 julkaistu todennettu hyväksikäyttömenetelmä, joten päivitykset on suoritettava välittömästi.

Haavoittuvuuden kohde

Haavoittuva komponentti esiintyy lukuisten SAP-tuotteiden osana:

  • SAP Enterprise Resource Planning
  • SAP Product Lifecycle Management
  • SAP Customer Relationship Management
  • SAP Supply Chain Management
  • SAP Supplier Relationship Management
  • SAP NetWeaver Business Warehouse
  • SAP Business Intelligence
  • SAP NetWeaver Mobile Infrastructure
  • SAP Enterprise Portal
  • SAP Process Orchestration/Process Integration
  • SAP Solution Manager
  • SAP NetWeaver Development Infrastructure
  • SAP Central Process Scheduling
  • SAP NetWeaver Composition Environment
  • SAP Landscape Manager

Mistä on kysymys?

Valmistaja on julkaissut 14.7. päivityksen, jossa se suosittaa päivittämään ensin internet-kytkentäiset SAP-palvelut, ja tämän jälkeen sisäverkossa olevat palvelut.

Haavoittuvuutta voidaan rajoittaa poistamalla haavoittuva LM Configuration Wizard -komponentti käytöstä (lisätietoja tiedotteesta https://launchpad.support.sap.com/#/notes/2939665).

Päivitys 17.7

Haavoittuvuuteen on 16.7 julkaistu hyväksikäyttömenetelmä. Aktiiviset skannaukset tähän haavoittuvuuteen ovat lisääntyneet maailmalla, joten päivitykset on suoritettava välittömästi.

Mitä voin tehdä?

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Tietojen muokkaaminen

Järjestelmään talletettujen tietojen muokkaaminen ei välttämättä edellytä komentojen suorittamista, käyttövaltuuksien laajentamista tai järjestelmään kirjautumista. Esimerkiksi käyttämällä hyväksi www-palvelinohjelmiston haavoittuvuutta voi hyökkääjä luvatta muuttaa palvelimella näkyvien verkkosivujen sisältöä.

Ei julkaistu

Haavoittuvuuden käyttöaste ei ole tiedossa.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

17. heinäkuuta 2020 klo 15.13 Lisätty tiedot haavan hyväksikäyttömenetelmästä ja lisätty linkki.