Kriittinen haavoittuvuus SAP NetWeaverissa

Haavoittuva komponentti esiintyy lukuisten SAP-tuotteiden osana:

• SAP Enterprise Resource Planning
• SAP Product Lifecycle Management
• SAP Customer Relationship Management
• SAP Supply Chain Management
• SAP Supplier Relationship Management
• SAP NetWeaver Business Warehouse
• SAP Business Intelligence
• SAP NetWeaver Mobile Infrastructure
• SAP Enterprise Portal
• SAP Process Orchestration/Process Integration
• SAP Solution Manager
• SAP NetWeaver Development Infrastructure
• SAP Central Process Scheduling
• SAP NetWeaver Composition Environment
• SAP Landscape Manager

Valmistaja on julkaissut 14.7. päivityksen, jossa se suosittaa päivittämään ensin internet-kytkentäiset SAP-palvelut, ja tämän jälkeen sisäverkossa olevat palvelut.

Haavoittuvuutta voidaan rajoittaa poistamalla haavoittuva LM Configuration Wizard -komponentti käytöstä (lisätietoja tiedotteesta https://launchpad.support.sap.com/#/notes/2939665 (Ulkoinen linkki)).

Päivitys 17.7

Haavoittuvuuteen on 16.7 julkaistu hyväksikäyttömenetelmä. Aktiiviset skannaukset tähän haavoittuvuuteen ovat lisääntyneet maailmalla, joten päivitykset on suoritettava välittömästi.

• https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html (Ulkoinen linkki)
• https://us-cert.cisa.gov/ncas/alerts/aa20-195a (Ulkoinen linkki)
• https://www.bleepingcomputer.com/news/security/poc-exploits-released-for-sap-recon-vulnerabilities-patch-now/ (Ulkoinen linkki)