Ernstig lek in SAP Netweaver maakt overnemen van systemen mogelijk
Softwarebedrijf SAP heeft een ernstige kwetsbaarheid verholpen die in elke SAP-applicatie aanwezig is die van de SAP NetWeaver Java software stack gebruikmaakt. Het beveiligingslek (CVE-2020-6287) is op een schaal van 1 tot en met 10 wat betreft de ernst met een 10 beoordeeld en maakt het mogelijk voor aanvallers om systemen op afstand over te nemen. Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid verwacht dat er op korte termijn misbruik van de kwetsbaarheid zal worden gemaakt.
SAP Netweaver is een platform voor het draaien van SAP-applicaties. De nu verholpen kwetsbaarheid was aanwezig in de LM Configuration Wizard van de SAP NetWeaver Application Server voor Java. Door een gebrek aan authenticatie is het voor een ongeauthenticeerde aanvaller mogelijk om bij SAP-applicaties die op de SAP NetWeaver Application Server voor Java draaien commando's met rechten van het SAP service user account uit te voeren en "high-privileged" gebruikers aan te maken, waardoor er onbeperkte toegang tot het SAP-systeem kan worden verkregen. Verdere technische details zijn nog niet openbaar gemaakt.
Het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security, waarschuwt dat de kwetsbaarheid standaard aanwezig is in SAP-applicaties die op de SAP NetWeaver Application Server voor Java draaien. Het gaat onder andere om de SAP Enterprise Portal, SAP ERP, SAP S/4HANA en SAP CRM.
"Veel SAP applicaties zijn volgens goed gebruik niet publiek toegankelijk. SAP Enterprise Portal is vanwege zijn functie wel publiek toegankelijk. Indien SAP Enterprise Portal geïmplementeerd is op de Netweaver AS, is de kwetsbaarheid dus mogelijk op afstand uit te buiten", laat het NCSC weten. De organisatie merkt op dat er nog geen direct misbruik is waargenomen, maar misbruik wel zeer binnenkort wordt verwacht.
De kwetsbaarheid werd gevonden door securitybedrijf Onapsis. Het bedrijf laat aan Threatpost weten dat het minstens 2500 systemen met SAP-applicaties heeft gevonden die vanaf het internet toegankelijk zijn en risico lopen. De kwetsbaarheid is aanwezig in versies 7.30, 7.31, 7.40 en 7.50 van NetWeaver AS Java. Organisaties met publiek toegankelijke systemen wordt aangeraden om de update binnen 24 uur te installeren.
al die grote awsome IT bedrijven. een grote puin zooi en ja als je dan als bijv de BD / UWV met dat soort bedrijven te maken hebt [naast je eigen interne 'cultuur probleempjes'], dan is het toch niet raar allemaal wat we zien in de parktijk?
en dat SAP is al een draak van een ding, bij elke update is er wel weer een browser die ineens niet meer goed werkt en dan is het steevast 'de schuld van de browser'.
al die grote awsome IT bedrijven. een grote puinzooi en ja als je dan als bijv. de BD / UWV met dat soort bedrijven te maken hebt [naast je eigen interne 'cultuurprobleempjes'], dan is het toch niet raar allemaal, wat we zien in de praktijk?
UWV zet in op zo min mogelijk presteren met zo veel mogelijk mensen en huurt daar graag en grif allerlei grote en dus dure "dienstverleners" voor in. Nouja, allerlei... ze hebben zo hun vrindjes. De belastingdienst... blijkt een klein en goedkoop en effectief systeem de nek om te hebben gedraaid en de knutselaar zeer onheus bejegend omdat er elders in de organisatie een koninkje met een veel duurder en ineffectiever luchtfietssysteem aan het knoeien was.
Hadden we trouwens hier ook laatst, zo iemand die roeptoeterde dat er maar even geupgrade moest worden naar de laatste nieuwste features. Niet omdat het aan functionaliteit toevoegde, en dat er dan allerlei oude browsers de site niet meer op zouden kunnen dat was werkelijk volstrekt geen noemenswaardig thema. Een reden verzinnen waarom zijn voorstellen goede ideetjes zouden zijn kon'ie al helemaal niet, dat was nogal beneden zijn waardigheid. Maar het moest en zou zeker verherverbouwd met de laatste verhervernieuwingen. Rare houding is dat toch, maar je ziet het regelmatig in de eye-see-tea.
het is duidelijk dat jij niet in een grote logge organisatie werkt. mag niet zo maar iets op PC instaleren, SAP wordt centraal beheert en updates (om dingen te fixen) zijn eerder jaarlijks ivm contracten etc.
het is duidelijk dat jij niet in een grote logge organisatie werkt. mag niet zo maar iets op PC instaleren, SAP wordt centraal beheert en updates (om dingen te fixen) zijn eerder jaarlijks ivm contracten etc.
Ik werk wel degelijk voor een groot bedrijf. Indien SAP chrome als browser voor bijvoorbeeld C4C voorschrijft dan moet je als bedrijf zijnde simpelweg dit advies volgen en dus overal uitrollen (dat is wat ik bedoel). SAP wordt zeker centraal beheert en release wissels (EhP's of FPSen) zijn meermaals per jaar. Patches, en zeker als het om issues zoals als dit gaat, worden direct uitgerold ..
SAP is zeker geen brok ellende maar sommige mensen hebben wel de gave om er een brok ellende van te maken
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.