Alert!

Patchday: Kritische Sicherheitslücke bedroht 40.000 SAP-Kunden

Aufgrund eines Fehlers in SAP NetWeaver Application Server könnten Angreifer die volle Kontrolle über SAP-Systeme erlangen.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 2 Beiträge
Von

Eine schwerwiegende Sicherheitslücke in SAP NetWeaver Application Server (AS) Java Component LM Configuration Wizard bedroht verschiedene SAP-Produkte. Diese Konfigurationsoberfläche kommt in vielen SAP-Systemen zum Einsatz. Admins sollten die Sicherheitsupdates umgehend installieren.

Sicherheitsforscher von Onapsis haben die Lücke (CVE-2020-6287) entdeckt. Sie gilt als "kritisch" und ist mit dem höchstmöglichen CVSS V3 Score 10 von 10 eingestuft. Auf einer Ankündigungs-Website für ihren Forschungsbericht warnen sie davor, dass weltweit mehr als 40.000 SAP-Kunden bedroht sind. 2500 von ihnen entdeckte verwundbare Systeme sollen direkt über das Internet erreichbar sein. 29 Prozent davon stehen in Europa.

Konkret sollen die Versionen 7.30 bis einschließlich 7.50 bedroht sein. Weitere Infos dazu stehen nur registrierten SAP-Nutzern zu Verfügung. Die Cybersecurity and Infrastructure Security Agency (CISA) listet in einer Warnmeldung die bedrohten SAP-Produkte auf. Bislang hat die CISA keine Attacken beobachtet. Das kann sich aber schnell änder, wie sie betonen.

  • SAP Enterprise Resource Planning,
  • SAP Product Lifecycle Management,
  • SAP Customer Relationship Management,
  • SAP Supply Chain Management,
  • SAP Supplier Relationship Management,
  • SAP NetWeaver Business Warehouse,
  • SAP Business Intelligence,
  • SAP NetWeaver Mobile Infrastructure,
  • SAP Enterprise Portal,
  • SAP Process Orchestration/Process Integration),
  • SAP Solution Manager,
  • SAP NetWeaver Development Infrastructure,
  • SAP Central Process Scheduling,
  • SAP NetWeaver Composition Environment, and
  • SAP Landscape Manager.

Angreifer sollen aus der Ferne und ohne Authentifizierung an der Schwachstelle ansetzen können. Über HTTP könnten sie auf Systeme kommen und weitreichenden Zugriff auf betroffene SAP-Systeme erlangen. Anschließend könnten sie eigene Befehle ausführen und Nutzeraccounts mit Service-Account-Rechten einrichten.

Admins, die die Patches zur Zeit nicht installieren können, sollten bedrohte Systeme vom Internet nehmen. Außerdem sollten sie Log-Dateien ganz genau beobachten.

Im Zuge das Patchdays hat SAP noch weitere fehlerbereinigte Version von beispielsweise SAP Disclosure Management und SAP Business Objects veröffentlicht. Der Großteil der Schwachstellen ist mit dem Bedrohungsgrad "mittel" eingestuft. Weitere Infos findet man in der Warnmeldung von SAP. (des)