Инженеры SAP исправили опасную ошибку CVE-2020-6287, которая затрагивает большинство клиентов компании и приложений. Баг еще в мае текущего года обнаружили эксперты из ИБ-компании Onapsis, специализирующейся на облачной безопасности. Уязвимости дали название RECON (аббревиатура от Remotely Exploitable Code On NetWeaver) и она получила 10 баллов из 10 по шкале оценки уязвимостей CVSSv3.
Такой рейтинг означает, что ошибка крайне проста в использовании, и ее эксплуатация почти не требует технических знаний. Также уязвимость может быть использована для автоматизированных удаленных атак и не требует, чтобы злоумышленник уже имел учетную запись в приложении SAP или знал чужие учетные данные.
В своем отчете исследователи предупреждают, что баг позволяет злоумышленникам, минуя все средства контроля доступа и авторизации, создавать новые учетные записи для SAP-приложений, доступных из интернета, с максимальными привилегиями. По сути это даст хакерам полный контроль над SAP-ресурсами скомпрометированных компаний.
Уязвимость проста в эксплуатации и находится в компоненте по умолчанию, который входит в состав всех SAP-приложений, работающих на стеке Java SAP NetWeaver версий 7.30-7.5. Речь о компоненте LM Configuration Wizard, который является частью SAP NetWeaver Application Server (AS) .
Данный компонент используется во множестве популярных продуктов, включая SAP S/4HANA, SAP SCM, SAP CRM, SAP CRM, SAP Enterprise Portal, а также SAP Solution Manager (SolMan). Другие приложения SAP, работающие со стеком SAP NetWeaver Java, тоже подвержены уязвимости.
Специалисты Onapsis предполагают, что число компаний, которые затрагивает данная проблема, равно примерно 40 000, хотя не все они «светят» уязвимыми приложениями в интернете. Так, проведенное исследователями сканирование показало, что в сети можно обнаружить около 2500 SAP-систем, которые в настоящее время уязвимы перед проблемой RECON (33% в Северной Америке, 29% в Европе и 27% в Азиатско-Тихоокеанском регионе).
Администраторам SAP-систем рекомендуется установить патчи как можно скорее, так как уязвимость позволяет хакерам получить полный контроль над приложениями компании, похитить проприетарные данные и пользовательскую информацию.
В сущности, после успешной атаки злоумышленники смогут прочитать, изменить и удалить любую запись, файл или отчет в скомпрометированной системе. Таким образом, перед хакерами открывается широкий спектр вредоносных возможностей, включая чтение, изменение или удаление финансовых записей, сокрытие или изменение следов, логов и других файлов, а также полное нарушение работы системы, повреждение данных и так далее.