Vulnérabilité critique dans SAP NetWeaver AS Java

APERÇU

SAP a publié une mise à jour de sécurité pour résoudre une vulnérabilité critique, CVE-2020-6287, affectant l'assistant de configuration LM du composant Java SAP NetWeaver Application Server (AS). Un attaquant non authentifié peut exploiter cette vulnérabilité via le protocole HTTP (Hypertext Transfer Protocol) pour prendre le contrôle des applications SAP de confiance.

Aucune exploitation active de ces vulnérabilités n'a été rendu public. Cependant, comme les correctifs ont été publiés publiquement, les vulnérabilités sous-jacentes pourraient être rétro-conçues pour créer des exploits qui ciblent les systèmes pas encore à jour.

SYSTÈMES CONCERNÉS

Cette vulnérabilité est présente par défaut dans les applications SAP exécutées sur SAP NetWeaver AS Java 7.3 et toutes les versions plus récentes (jusqu'à SAP NetWeaver 7.5). Les solutions d'entreprise SAP potentiellement vulnérables incluent toutes les solutions SAP Java telles que (mais sans s'y limiter) :

  • SAP Enterprise Resource Planning
  • SAP Product Lifecycle Management
  • SAP Customer Relationship Management
  • SAP Supply Chain Management
  • SAP Supplier Relationship Management
  • SAP NetWeaver Business Warehouse
  • SAP Business Intelligence
  • SAP NetWeaver Mobile Infrastructure
  • SAP Enterprise Portal
  • SAP Process Orchestration/Process Integration
  • SAP Solution Manager
  • SAP NetWeaver Development Infrastructure
  • SAP Central Process Scheduling
  • SAP NetWeaver Composition Environment
  • SAP Landscape Manager

 

SURFACE D'ATTAQUE

La vulnérabilité a été identifiée dans un composant faisant partie de SAP NetWeaver AS Java. Cette pile technologique fait partie de SAP Solution Manager, qui est une suite de support et de gestion de système.

La technologie SAP NetWeaver AS pour Java prend en charge le composant SAP Portal, qui peut donc être affecté par cette vulnérabilité et est généralement exposé à Internet. L'analyse passive des applications accessibles sur Internet indique qu'un certain nombre de ces applications sont connectées à Internet et pourraient être affectées par cette vulnérabilité.

IMPACT

Si la vulnérabilité est exploité avec succès, un attaquant distant et non authentifié peut obtenir un accès illimité aux systèmes SAP via la création d'utilisateurs à privilèges élevés et l'exécution de commandes arbitraires du système d'exploitation avec les privilèges du compte d'utilisateur du service SAP (<sid> adm), qui a accès illimité à la base de données SAP et peut effectuer des activités de maintenance des applications, telles que l'arrêt des applications SAP fédérées. La confidentialité, l'intégrité et la disponibilité des données et des processus hébergés par l'application SAP sont menacées par cette vulnérabilité.

SOLUTIONS ET RECOMMANDATIONS

En raison de la criticité de cette vulnérabilité, de la surface d'attaque que représente cette vulnérabilité et de l'importance des applications métier de SAP, il est vivement aux organisations de consulter la note de sécurité SAP n°2934135 pour plus d'informations et d'appliquer les correctifs critiques dès que possible. La priorité doit être aux correctifs plutôt qu'à l'application d'atténuations individuelles. Lors de l'application de correctifs, les systèmes externes doivent être traités de toute urgence, suivis des systèmes internes.

Des versions corrigées des composants concernés sont disponibles sur le tableau de bord du support SAP One.

Les organisations qui ne peuvent pas appliquer immédiatement un correctif doivent atténuer la vulnérabilité en désactivant le service Assistant de configuration LM (voir la note de sécurité SAP n°2939665). Si ces options ne sont pas disponibles ou si les actions prennent plus de 24 heures, il vous faut surveiller étroitement votre SAP NetWeaver AS pour détecter toute activité anormale.

Recommandations supplémentaires

  • Analyser les systèmes SAP pour rechercher toutes les vulnérabilités connues, telles que les correctifs de sécurité manquants, les configurations système dangereuses et les vulnérabilités dans le code personnalisé SAP.
  • Appliquer immédiatement les correctifs de sécurité manquants et institutionnaliser les correctifs de sécurité dans le cadre d'un processus périodique
  • Assurer la configuration sécurisée de votre paysage SAP
  • Identifier et analysez les paramètres de sécurité des interfaces SAP entre les systèmes et les applications pour comprendre les risques posés par ces relations de confiance.
  • Analyser les systèmes pour les autorisations d'utilisateurs malveillantes ou excessives.
  • Surveiller les systèmes pour les indicateurs de compromission résultant de l'exploitation des vulnérabilités.
  • Surveiller les systèmes pour détecter tout comportement suspect des utilisateurs, y compris les utilisateurs privilégiés et non privilégiés.
  • Appliquer des informations sur les menaces sur les nouvelles vulnérabilités pour améliorer la posture de sécurité contre les attaques ciblées avancées.
  • Définisser des références de sécurité complètes pour les systèmes et surveillez en permanence les violations de conformité et corrigez les écarts détectés.

Ces recommandations s'appliquent aux systèmes SAP dans les environnements de cloud public, privé et hybride.