发布时间:2020-07-18 12:38:52,来源:安恒应急响应中心、中国信息通信研究院
2020年7月14日,SAP官方发布了7月份安全补丁更新。公告中修复了SAP NetWeaver AS JAVA(LM Configuration Wizard)高危漏洞(CVE-2020-6287),CVSS评分为10,易利用且影响较大。未经身份验证的攻击者可利用该漏洞获取目标SAP系统管理权限。
建议广大用户尽快升级至最新版本,做好资产自查以及预防工作,以免遭受黑客攻击。
二、漏洞详情
SAP NetWeaver AS JAVA是大多数SAP环境中的核心组件。该组件存在SAP多个产品中,包括SAP SCM、SAP CRM、SAP PI、SAP Enterprise Portal、SAP Solution Manager(SolMan)。
该漏洞存在于SAP NetWeaver AS JAVA (LM Configuration Wizard)7.30、7.31、7.40以及7.50版本中,由于SAP NetWeaver AS Java web组件中缺少身份验证,未经身份验证的攻击者可通过创建具有最高特权的新SAP用户,绕过所有访问和授权控制,从而完全控制SAP系统。
三、影响产品
SAP NetWeaver AS Java 7.30、7.31、7.40、7.50
其中潜在受影响的SAP解决方案包括(但不限于):
SAP Enterprise Resource Planning
SAP Product Lifecycle Management
SAP Customer Relationship Management
SAP Supply Chain Management
SAP Supplier Relationship Management
SAP NetWeaver Business Warehouse
SAP Business Intelligence
SAP NetWeaver Mobile Infrastructure
SAP Enterprise Portal
SAP Process Orchestration/Process Integration
SAP Solution Manager
SAP NetWeaver Development Infrastructure
SAP Central Process Scheduling
SAP NetWeaver Composition Environment
SAP Landscape Manager
四、安全建议
(一) 官方修复建议
建议升级至最新版本:
https://launchpad.support.sap.com/#/notes/2934135
(二) 缓解措施:
如果目前无法升级最新版本,官方建议可通过禁用LM Configuration Wizard服务缓解该漏洞的影响。
五、参考链接
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552599675