综述
当地时间2020年7月13日,SAP发布安全更新表示,修复了一个存在于SAP NetWeaver AS Java(LM配置向导)7.30至7.50版本中的严重漏洞CVE-2020-6287。
漏洞缘于SAP NetWeaver AS for Java Web组件中缺少身份验证,因此允许攻击者在受影响的SAP系统上进行高特权活动。
如果被成功利用,则未经身份验证的远程攻击者可以通过创建具有最大特权的新SAP用户,绕过所有访问和授权控制,从而完全控制SAP系统。
CVSS 3.0评分10
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H。
参考链接:
https://us-cert.cisa.gov/ncas/alerts/aa20-195a
受影响产品
- SAP NetWeaver AS JAVA (LM 配置向导) Versions = 7.30, 7.31, 7.40, 7.50
潜在易受攻击的SAP业务解决方案包括(但不限于):
- SAP Enterprise Resource Planning(ERP)
- SAP Product Lifecycle Management
- SAP Customer Relationship Management
- SAP Supply Chain Management(SCM)
- SAP Supplier Relationship Management
- SAP NetWeaver Business Warehouse
- SAP Business Intelligence
- SAP NetWeaver Mobile Infrastructure
- SAP Enterprise Portal
- SAP Process Orchestration/Process Integration
- SAP Solution Manager
- SAP NetWeaver Development Infrastructure
- SAP Central Process Scheduling
- SAP NetWeaver Composition Environment
- SAP Landscape Manager
解决方案
官方已为受影响组件发布了补丁。强烈建议相关客户立即安装更新。
https://launchpad.support.sap.com/
无法立即修补的组织应通过禁用LM配置向导服务来缓解该漏洞(请参阅SAP安全说明#2939665)。
https://launchpad.support.sap.com/#/notes/2939665
如果这些选项都不可用,或者操作将花费超过24小时才能完成,则建议密切监视SAP NetWeaver AS的异常活动。
官方安全更新:
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552599675