Ранее на этой неделе стало известно, что инженеры SAP исправили опасную ошибку CVE-2020-6287, которая затрагивает большинство клиентов компании и приложений.
Баг еще в мае текущего года обнаружили эксперты из ИБ-компании Onapsis, специализирующейся на облачной безопасности. Уязвимости дали название RECON (аббревиатура от Remotely Exploitable Code On NetWeaver) и она получила 10 баллов из 10 по шкале оценки уязвимостей CVSSv3. Напомню, что такая оценка означает, что ошибка крайне проста в использовании, и ее эксплуатация почти не требует технических знаний. Также уязвимость может быть использована для автоматизированных удаленных атак и не требует, чтобы злоумышленник уже имел учетную запись в приложении SAP или знал чужие учетные данные.
Баг находится в компоненте по умолчанию, который входит в состав всех SAP-приложений, работающих на стеке Java SAP NetWeaver версий 7.30-7.5. Речь о компоненте LM Configuration Wizard, который является частью SAP NetWeaver Application Server (AS) .
В своем отчете исследователи предупреждали, что проблема позволяет злоумышленникам, минуя все средства контроля доступа и авторизации, создавать новые учетные записи для SAP-приложений, доступных из интернета, с максимальными привилегиями. По сути это даст хакерам полный контроль над SAP-ресурсами скомпрометированных компаний.
Специалисты Onapsis предполагают, что число компаний, которым угрожает данная проблема, равно примерно 40 000, хотя не все они «светят» уязвимыми приложениями в интернете. Так, проведенное исследователями сканирование показало, что в сети можно обнаружить около 2500 SAP-систем, которые в настоящее время уязвимы перед RECON (33% в Северной Америке, 29% в Европе и 27% в Азиатско-Тихоокеанском регионе).
Также на этой неделе инженеры SAP устранили еще одну уязвимость, отслеживаемую как CVE-2020-6286. Этот баг позволяет неавторизованному злоумышленнику загружать файлы ZIP в определенный каталог, что в итоге приводит к обходу каталога.
Вчера специалисты компании Bad Packets предупредили, что на GitHub уже появились PoC-эксплоиты для обеих упомянутых уязвимостей. Более того, компания предупреждает, что уже были замечены первые сканирования, направленные по поиск уязвимых систем.
"This project is created only for educational purposes and cannot be used for law violation or personal gain."https://t.co/eFpsYQF2of
— Bad Packets (@bad_packets) July 15, 2020
Издание Bleeping Computer отмечает, что опубликованный эксплоит, к счастью, не поможет для удаленного выполнения кода (исследователь не стал рисковать и публиковать RCE-инструмент в открытом доступе), но позволяет загружать произвольные ZIP-архивы из уязвимых систем.
Специалисты еще раз напоминают всем администраторам о необходимости срочной установки патчей.