新的高度关键的SAP漏洞可能会让攻击者接管公司服务器

SAP修补了影响NetWeaver Application Server（AS）Java平台中LM配置向导组件的一个关键漏洞，允许未经验证的攻击者控制SAP应用程序。

这只被称为侦察机的虫子被追踪为CVE-2020-6287发现该漏洞的网络安全公司Onapsis称，CVSS的最高得分为10分，可能会影响超过40000名SAP客户。

“如果成功利用，未经验证的远程攻击者可以通过创建高权限用户，并以SAP服务用户帐户的权限执行任意操作系统命令，从而获得对SAP系统的不受限制的访问权限。SAP服务用户帐户对SAP数据库具有不受限制的访问权限，并且能够执行应用程序维护活动，如关闭联合SAP应用程序，”美国网络安全和基础设施安全局（CISA）在一份咨询报告中说。

“SAP应用程序托管的数据和流程的机密性、完整性和可用性受到此漏洞的威胁，”它补充道。

默认情况下，该漏洞存在于以Java 7.3及更高版本（最高达SAP NetWeaver 7.5）运行在SAP NetWeaver之上的SAP应用程序中，使多个SAP业务解决方案面临风险，包括但不限于SAP企业资源规划、SAP产品生命周期管理、SAP客户关系管理、，SAP供应链管理、SAP商业智能和SAP企业门户。

根据Onapsis，RECON是由于SAP NetWeaver for Java的web组件中缺少身份验证而导致的，因此攻击者可以在易受攻击的SAP系统上执行高权限活动。

“未经身份验证的远程攻击者可以通过HTTP接口利用此漏洞，该接口通常会暴露给最终用户，在许多情况下，还会暴露给互联网，”CISA说。

通过利用该漏洞创建具有最大权限的新SAP用户，入侵者可以破坏SAP安装，以执行任意命令，例如修改或提取高度敏感的信息，以及中断关键业务流程。

尽管没有证据表明存在任何对该漏洞的积极利用，但CISA警告称，补丁的可用性可能会使对手更容易对该漏洞进行反向工程，以创建漏洞并针对未修补的系统。

考虑到侦察的严重性，建议企业尽快应用关键补丁程序，扫描SAP系统中的所有已知漏洞，并分析系统中的恶意或过度用户授权。