CVE-2020-6287: SAP vá lỗ hổng nghiêm trọng trong NetWeaver

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi DDos, 14/07/20, 05:07 PM.

  1. DDos

    DDos Administrators Thành viên BQT

    Tham gia: 22/10/13, 08:10 PM
    Bài viết: 1,756
    Đã được thích: 403
    Điểm thành tích:
    83
    SAP vá một lỗ hổng nghiêm trọng ảnh hưởng đến thành phần LM Configuration Wizard trong nền tảng ứng dụng máy chủ NetWeaver (AS) dùng cho Java, cho phép kẻ tấn công không cần xác thực kiểm soát các ứng dụng SAP.

    Lỗ hổng này được đặt tên là RECON, được đánh số CVE-2020-6287, có thang điểm CVSS là 10/10 và do công ty an ninh mạng Onapsis phát hiện.

    SAP.jpg

    Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA) cho biết trong khuyến cáo:
    Lỗ hổng này ảnh tưởng tới các ứng dụng SAP chạy trên ứng dụng máy chủ NetWeaver (AS) dùng cho Java từ phiên bản 7.3 đến 7.5. Các giải pháp cho doanh nghiệp của SAP cũng có thể bị ảnh hưởng bởi lỗ hổng này bao gồm SAP Enterprise Resource Planning, SAP Product Lifecycle Management, SAP Customer Relationship Management, SAP Supply Chain Management, SAP Business Intelligence, và SAP Enterprise Portal.

    Theo phân tích của Onapsis, lỗ hổng RECON bắt nguồn từ việc thiếu xác thực trong thành phần web của SAP NetWeaver AS cho Java, do đó kẻ tấn công có thể thực hiện các hoạt động độc hại với đặc quyền cao trên hệ thống SAP.

    Nếu tin tặc khai thác lỗ hổng này để tạo một tài khoản người dùng trong ứng dụng SAP với đặc quyền cao, tin tặc có khả năng thực thi mã, thu thập các thông tin nhạy cảm cũng như ăn cắp các thông tin quan trọng của doanh nghiệp. CISA cho biết, mặc dù chưa có bằng chứng nào về việc lỗ hổng này bị khai thác trong thực tế, nhưng khi lỗ hổng này được tiết lộ, tin tặc sẽ bắt đầu phát triển các công cụ khai thác lỗ hổng này.

    Do mức độ nghiêm trọng của lỗ hổng RECON, các tổ chức nên triển khai các bản vá mà SAP phát hành càng sớm càng tốt và quét các hệ thống SAP để tìm tất cả các lỗ hổng đã biết để ngăn chặc việc tin tặc khai thác hệ thống của tổ chức.

    Theo: thehackernews
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan