Waarschuwing kritieke Vulnerability in SAP NetWeaver AS Java
Bronnen
https://us-cert.cisa.gov/ncas/alerts/aa20-195a
Risico’s
Een niet-geauthenticeerde aanvaller kan vanop afstand deze kwetsbaarheid exploiteren via het Hypertext Transfer Protocol (HTTP) en de controle over vertrouwde SAP-applicaties overnemen. De aanvaller kan de exploit gebruiken om high-privilege gebruikers te creëren en commando's op het besturingssysteem uit te voeren.
Deze kwetsbaarheid kan een ernstige impact hebben op uw bedrijf. Succesvolle exploitatie kan leiden tot een volledige compromittering van kwetsbare SAP-installaties, Een aanvaller kan zeer gevoelige informatie wijzigen of exfiltreren, of kritische bedrijfsprocessen verstoren.
Beschrijving
Deze kwetsbaarheid is aanwezig in SAP-applicaties die gebruik maken van NetWeaver AS Java 7.3 tot SAP NetWeaver 7.5 draaien.
Potentieel kwetsbare SAP bedrijfsoplossingen omvatten alle op SAP Java gebaseerde oplossingen zoals (maar niet beperkt tot):
SAP Enterprise Resource Planning,
SAP Product Lifecycle Management,
SAP Customer Relationship Management,
SAP Supply Chain Management,
SAP Supplier Relationship Management,
SAP NetWeaver Business Warehouse,
SAP Business Intelligence,
SAP NetWeaver Mobiele Infrastructuur,
SAP Enterprise Portal,
SAP-procesintegratie,
SAP Solution Manager,
SAP NetWeaver Ontwikkeling Infrastructuur,
SAP Central Process Scheduling,
SAP NetWeaver Samenstelling Milieu, en
SAP Landschapsbeheerder.
Aanbevolen acties
CERT.be raadt systeembeheerders aan om de meest recente patches zo snel mogelijk toe te passen.
Bij het patchen moeten systemen die verbonden zijn met het internet geprioritiseerd worden.
Patches zijn beschikbaar op het SAP One Support Launchpad (login vereist).