Attention: UNE VULNERABILITE CRITIQUE AFFECTANT SAP NETWEAVER AS JAVA
10
Sources
https://us-cert.cisa.gov/ncas/alerts/aa20-195a
Risques
Un acteur malveillant distant non-authentifié pourrait exploiter cette vulnérabilité via le protocole HTTP (Hypertext Transfer Protocol) afin de prendre le contrôle des applications SAP. L’exploitation de cette vulnérabilité pourrait permettre à un acteur malveillant de créer des utilisateurs privilégiés et d’exécuter des commandes arbitraires du système d’exploitation.
Cette vulnérabilité pourrait avoir un impact néfaste sur votre entreprise car une exploitation réussie implique une compromission complète des installations SAP vulnérables. De plus, un acteur malveillant pourrait aussi modifier voire extraire des informations très sensibles ou perturber les processus commerciaux critiques de votre entreprise.
Description
Cette vulnérabilité est présente par défaut dans les applications SAP fonctionnant sur SAP NetWeaver AS Java 7.3 jusqu’à SAP NetWeaver 7.5.
Les solutions commerciales SAP potentiellement vulnérables comprennent toutes les solutions SAP basées sur Java telles que (mais pas uniquement) :
• SAP Enterprise Resource Planning
• SAP Product Lifecycle Management
• SAP Customer Relationship Management
• SAP Supply Chain Management
• SAP Supplier Relationship Management
• SAP NetWeaver Business Warehouse
• SAP Business Intelligence
• SAP NetWeaver Mobile Infrastructure
• SAP Enterprise Portal
• SAP Process Orchestration/Process Integration)
• SAP Solution Manager
• SAP NetWeaver Development Infrastructure
• SAP Central Process Scheduling
• SAP NetWeaver Composition Environment
• SAP Landscape Manager.
Actions recommandées
CERT.be recommande aux administrateurs système d’appliquer le plus rapidement possible les derniers correctifs publiés par le fournisseur.
Les correctifs pour les versions affecté sont disponible sur SAP One Support Launchpad (cela requiert une connexion).