SAP đã vá một lỗ hổng nghiêm trọng tác động đến thành phần Trình hướng dẫn cấu hình LM trong nền tảng Java của Máy chủ ứng dụng NetWeaver (AS), cho phép kẻ tấn công không được xác thực kiểm soát các ứng dụng SAP.
Lỗi này, được đặt tên là RECON và được theo dõi là CVE-2020-6287, được đánh giá với điểm CVSS tối đa là 10 trên 10, có khả năng ảnh hưởng đến hơn 40.000 khách hàng của SAP, theo công ty an ninh mạng Onapsis, phát hiện ra lỗ hổng.
“Nếu khai thác thành công, kẻ tấn công từ xa, không được xác thực có thể có quyền truy cập không hạn chế vào các hệ thống SAP thông qua việc tạo người dùng đặc quyền cao và thực thi các lệnh hệ điều hành tùy ý với các đặc quyền của tài khoản người dùng dịch vụ SAP, có quyền truy cập không hạn chế vào SAP cơ sở dữ liệu và có thể thực hiện các hoạt động bảo trì ứng dụng, như tắt các ứng dụng SAP được liên kết, “Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA) cho biết tham mưu.
“Tính bảo mật, tính toàn vẹn và tính sẵn có của dữ liệu và quy trình được lưu trữ bởi ứng dụng SAP có nguy cơ bị lỗ hổng này”, nó nói thêm.
Lỗ hổng này xuất hiện theo mặc định trong các ứng dụng SAP chạy trên SAP NetWeaver AS Java 7.3 trở lên (lên đến SAP NetWeaver 7.5), đặt một số giải pháp kinh doanh của SAP có nguy cơ, bao gồm nhưng không giới hạn ở Kế hoạch tài nguyên doanh nghiệp SAP, Quản lý vòng đời sản phẩm của SAP , Quản lý quan hệ khách hàng SAP, Quản lý chuỗi cung ứng SAP, Trí tuệ doanh nghiệp SAP và Cổng thông tin doanh nghiệp SAP.
Theo Onapsis, RECON được gây ra do thiếu xác thực trong thành phần web của SAP NetWeaver AS cho Java, do đó cấp cho kẻ tấn công thực hiện các hoạt động đặc quyền cao trên hệ thống SAP nhạy cảm.
“Một kẻ tấn công từ xa, không được xác thực có thể khai thác lỗ hổng này thông qua giao diện HTTP, thường được tiếp xúc với người dùng cuối và, trong nhiều trường hợp, tiếp xúc với internet,” CISA nói.
Bằng cách khai thác lỗ hổng để tạo một người dùng SAP mới với các đặc quyền tối đa, kẻ xâm nhập có thể thỏa hiệp cài đặt SAP để thực thi các lệnh tùy ý, chẳng hạn như sửa đổi hoặc trích xuất thông tin có độ nhạy cao cũng như phá vỡ các quy trình kinh doanh quan trọng.
Mặc dù không có bằng chứng về bất kỳ hoạt động khai thác lỗ hổng tích cực nào, CISA cảnh báo rằng tính sẵn có của các bản vá có thể giúp các đối thủ dễ dàng thiết kế ngược lại lỗ hổng để tạo ra các khai thác và nhắm vào các hệ thống chưa được vá.
Do mức độ nghiêm trọng của RECON, các tổ chức nên áp dụng các bản vá quan trọng càng sớm càng tốt và quét các hệ thống SAP để tìm tất cả các lỗ hổng đã biết và phân tích các hệ thống để ủy quyền cho người dùng độc hại hoặc quá mức.
