致命漏洞使黑客轻易攻破SAP系统

E安全12月29日讯    近期，据研究报告建议，SAP用户应立即部署一个针对严重漏洞的新发布补丁，该漏洞可能允许黑客破坏其系统和其中包含的数据。该漏洞存在于大多数SAP部署中默认存在的核心组件中，无需用户名和密码即可进行远程利用。

安全公司Onapsis的研究人员发现并报告了这个漏洞，他们估计全球有4万SAP客户可能受到影响。超过2500个易受攻击的SAP系统直接暴露在internet上，它们面临被黑客攻击的更高风险，但是能够访问本地网络的攻击者可能会危及其他部署。

该漏洞被追踪为CVE-2020-6287，位于SAP NetWeaver应用服务器Java中，这是大多数SAP企业应用程序的底层软件堆栈。NetWeaver Java的7.30到7.50版本受到影响——包括最新版本——以及SAP发布的所有支持包(SPs)。

这个漏洞，也被称为RECON (NetWeaver上的远程可利用代码)，在常见漏洞评分系统(CVSS)中有最高的可能的严重等级(10)，因为它可以在没有身份验证的情况下通过HTTP被利用，并可以导致系统的完全妥协。该漏洞允许攻击者创建一个具有管理角色的新用户，绕过现有的访问控制和职责分离。

Onapsis在一份通知中警告说:“拥有对系统的管理权限将允许攻击者管理(读取/修改/删除)系统中的每条数据库记录或文件。” “由于攻击者利用未修补的系统可以获得不受限制的访问类型，这个漏洞也可能构成企业IT控制的监管要求的缺陷——潜在地影响财务(萨班斯-奥克斯利法案)和隐私(GDPR)遵从性。”

该漏洞使组织容易受到各种类型的攻击。黑客可以利用它窃取员工、客户和供应商的个人身份信息(PII)；阅读、修改、删除财务记录；更改银行细节以转移付款和修改采购流程；腐败的数据;或中断系统的运行，由于业务停机造成财务损失。该漏洞还允许攻击者通过删除日志和使用SAP应用程序的特权在操作系统上执行命令来隐藏他们的踪迹。

受影响的SAP应用包括SAP S/4HANA Java、SAP企业资源规划(ERP)、SAP供应链管理(SCM)、SAP CRM (Java Stack)、SAP企业门户、SAP人力资源门户、SAP解决方案管理(SolMan) 7.2、SAP景观管理(SAP LaMa)、SAP流程集成/编排(SAP PI/PO)、SAP供应商关系。