SAP Security Patch Day: Schwachstellen in SAP NetWeaver AS JAVA [Exploit verfügbar]
Autor: Tobias Harmes | 14. Juli 2020
Der heutige SAP Security Patch Day liefert eine Security Note mit dem Topscore 10 von 10. Dabei führt der SAP NetWeaver AS JAVA keine Authentifizierungsprüfung durch. Einem Angreifer wird somit ermöglicht, volle Kontrolle über das SAP Java-System zu erhalten. Update: Ein Beispiel-Exploit ist verfübar.
Im Zuge des SAP Security Patch Day im Juli wurde heute eine Security Note zu Schwachstellen im SAP NetWeaver AS JAVA (LM Configuration Wizard; betroffene Versionen: 7.30, 7.31, 7.40, 7.50) veröffentlicht. SAP ruft Admins dazu auf, das Sicherheitsupdate umgehend zu installieren.
Durch eine fehlende Authentifizierung wird dem Angreifer ermöglicht, Konfigurationsaufgaben auszuführen, um kritische Aktionen gegen das SAP-Java-System durchzuführen. Außerdem besteht dadurch die Möglichkeit, einen administrativen Benutzer anzulegen und damit die Vertraulichkeit, Integrität und Verfügbarkeit des Systems zu gefährden.
Mehr Informationen gibt es im zugehörigen Hinweis der SAP 2934135 und dem CVE-2020-6286 und CVE-2020-6287
Sollte es nicht möglich sein, den Hinweis einzuspielen, gibt es einen Workaround: Den Hinweis 2939665. Der ist zwar keine endgültige Lösung, aber funktioniert als vorübergehende Sicherheitsmaßnahme.
Update vom 16.07.2020: Mittlerweile ist auch ein Demo-Exploit für die RECON (Remotely Exploitable Code On NetWeaver) getaufte Sicherheitslücke aufgetaucht. Das python-Script erlaubt die Prüfung, ob man verwundbar ist, und den Download jeder beliebigen .zip-Datei eines SAP Java Servers.
Update vom 29.07.2020: Es gibt jetzt auch einen FAQ zum Hinweis 2934135: 2948106 – FAQ – for SAP Note 2934135 – [CVE-2020-6287] Multiple Vulnerabilities in SAP NetWeaver AS JAVA (LM Configuration Wizard)