一、基本情况
2020年7月14日,SAP官方发布了7月份安全补丁更新。公告中修复了SAP NetWeaver AS JAVA(LM Configuration Wizard)高危漏洞(CVE-2020-6287),CVSS评分为10,易利用且影响较大。未经身份验证的攻击者可利用该漏洞获取目标SAP系统管理权限。
建议广大用户尽快升级至最新版本,做好资产自查以及预防工作,以免遭受黑客攻击。
二、漏洞分析
SAP NetWeaver AS JAVA是大多数SAP环境中的核心组件。该组件存在SAP多个产品中,包括SAP SCM、SAP CRM、SAP PI、SAP Enterprise Portal、SAP Solution Manager(SolMan)。
该漏洞存在于SAP NetWeaver AS JAVA (LM Configuration Wizard)7.30、7.31、7.40以及7.50版本中,由于SAP NetWeaver AS Java web组件中缺少身份验证,未经身份验证的攻击者可通过创建具有最高特权的新SAP用户,绕过所有访问和授权控制,从而完全控制SAP系统。
三、影响范围
SAP NetWeaver AS Java 7.30、7.31、7.40、7.50
其中潜在受影响的SAP解决方案包括(但不限于):
SAP Enterprise Resource Planning
SAP Product Lifecycle Management
SAP Customer Relationship Management
SAP Supply Chain Management
SAP Supplier Relationship Management
SAP NetWeaver Business Warehouse
SAP Business Intelligence
SAP NetWeaver Mobile Infrastructure
SAP Enterprise Portal
SAP Process Orchestration/Process Integration
SAP Solution Manager
SAP NetWeaver Development Infrastructure
SAP Central Process Scheduling
SAP NetWeaver Composition Environment
SAP Landscape Manager
四、安全建议
(一)官方修复建议
建议升级至最新版本:
https://launchpad.support.sap.com/#/notes/2934135
(二)缓解措施
如果目前无法升级最新版本,官方建议可通过禁用LM Configuration Wizard服务缓解该漏洞的影响。
五、参考链接
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552599675
支持单位:
安恒应急响应中心
中国信息通信研究院
声明:本文来自网络安全威胁信息共享平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。