VARSEL (TLP:CLEAR)

[NCSC-varsel] Kritisk sårbarhet i SAP NetWeaver AS Java

14-07-2020

NCSC ønsker å varsle om en kritisk sårbarhet i SAP NetWeaver Application Server (AS) Java som har fått CVE-nummer CVE-2020-6287 [1].

 

Sårbarheten sitter i Java component LM Configuration Wizard. En uatorisert angriper kan utnytte denne via HTTP for å kontrollere legitime SAP-applikasjoner, uten at vedkommende trenger å være tilkoblet det lokale nettverket [2]. Dette kan gi tilgang til sensitiv informasjon og mulighet for å sabotere virksomhetskritiske prosesser. 

 

Sårbarheten er tilstede i SAP-applikasjoner som kjører på SAP NetWeaver AS Java 7.3 og senere versjoner opp til SAP NetWeaver 7.5. Flere av disse er koblet på internett og kan derfor bli berørt av denne sårbarheten.

 

NCSC-pulsen blir beholdt på nivå to (2).

 

 

Berørte produkter er blant annet:

  • SAP Enterprise Resource Planning,
  • SAP Product Lifecycle Management,
  • SAP Customer Relationship Management,
  • SAP Supply Chain Management,
  • SAP Supplier Relationship Management,
  • SAP NetWeaver Business Warehouse,
  • SAP Business Intelligence,
  • SAP NetWeaver Mobile Infrastructure,
  • SAP Enterprise Portal,
  • SAP Process Orchestration/Process Integration),
  • SAP Solution Manager,
  • SAP NetWeaver Development Infrastructure,
  • SAP Central Process Scheduling,
  • SAP NetWeaver Composition Environment, and
  • SAP Landscape Manager.

 

 

Anbefalinger:

  • NCSC er ikke kjent med aktiv utnyttelse av sårbarheten, men anbefaler likevel virksomheter å oppdatere så snart dette lar seg gjøre. Dette gjelder også for applikasjoner som ikke er eksponert mot internett.
  • Dersom det er vanskelig å oppdatere snarlig anbefales det å deaktivere LM Configuration Wizard service, se [3] (krever konto).

 

 

Referanser:

[1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6287%20

[2] https://us-cert.cisa.gov/ncas/alerts/aa20-195a

[3] https://launchpad.support.sap.com/#/notes/2934135