SAP a corrigé un vulnérabilité critique impactant le composant LM Configuration Wizard dans la plate-forme Java NetWeaver Application Server (AS), permettant à un attaquant non authentifié de prendre le contrôle des applications SAP.
Le bug, surnommé RECON et suivi comme CVE-2020-6287, est noté avec un score CVSS maximum de 10 sur 10, affectant potentiellement plus de 40 000 clients SAP, selon la firme de cybersécurité Onapsis, qui découvert la faille.
« S’il est exploité avec succès, un attaquant distant non authentifié peut obtenir un accès illimité aux systèmes SAP grâce à la création d’utilisateurs hautement privilégiés et à l’exécution de commandes arbitraires du système d’exploitation avec les privilèges du compte d’utilisateur du service SAP, qui dispose d’un accès illimité au SAP base de données et est capable d’effectuer des activités de maintenance des applications, telles que la fermeture des applications SAP fédérées « , a déclaré la US Cybersecurity and Infrastructure Security Agency (CISA) dans un communiqué. consultatif.
« La confidentialité, l’intégrité et la disponibilité des données et des processus hébergés par l’application SAP sont menacées par cette vulnérabilité », a-t-il ajouté.
La vulnérabilité est présente par défaut dans les applications SAP exécutées au-dessus de SAP NetWeaver AS Java 7.3 et plus récent (jusqu’à SAP NetWeaver 7.5), mettant en danger plusieurs solutions métier SAP, y compris mais sans s’y limiter SAP Enterprise Resource Planning, SAP Product Lifecycle Management , SAP Customer Relationship Management, SAP Supply Chain Management, SAP Business Intelligence et SAP Enterprise Portal.
Selon Onapsis, RECON est dû à un manque d’authentification dans le composant Web de SAP NetWeaver AS pour Java, permettant ainsi à un attaquant d’effectuer des activités hautement privilégiées sur le système SAP sensible.
« Un attaquant distant non authentifié peut exploiter cette vulnérabilité via une interface HTTP, qui est généralement exposée aux utilisateurs finaux et, dans de nombreux cas, exposée à Internet », a expliqué CISA.
En exploitant la faille pour créer un nouvel utilisateur SAP avec des privilèges maximaux, l’intrus peut compromettre les installations SAP pour exécuter des commandes arbitraires, telles que la modification ou l’extraction d’informations hautement sensibles ainsi que la perturbation des processus commerciaux critiques.
Bien qu’il n’y ait aucune preuve d’une exploitation active de la vulnérabilité, CISA a averti que la disponibilité des correctifs pourrait permettre aux adversaires de désosser plus facilement la faille pour créer des exploits et cibler des systèmes non corrigés.
Compte tenu de la gravité de RECON, il est recommandé que les organisations appliquent les correctifs critiques dès que possible et analysent les systèmes SAP pour toutes les vulnérabilités connues et analysent les systèmes pour détecter les autorisations utilisateur malveillantes ou excessives.
