Ранее на этой неделе стало известно, что инженеры SAP исправили опасную ошибку CVE-2020-6287, которая затрагивает большинство клиентов компании и приложений.

Баг еще в мае текущего года обнаружили эксперты из ИБ-компании Onapsis, специализирующейся на облачной безопасности. Уязвимости дали название RECON (аббревиатура от Remotely Exploitable Code On NetWeaver) и она получила 10 баллов из 10 по шкале оценки уязвимостей CVSSv3. Напомню, что такая оценка означает, что ошибка крайне проста в использовании, и ее эксплуатация почти не требует технических знаний. Также уязвимость может быть использована для автоматизированных удаленных атак и не требует, чтобы злоумышленник уже имел учетную запись в приложении SAP или знал чужие учетные данные.

Баг находится в компоненте по умолчанию, который входит в состав всех SAP-приложений, работающих на стеке Java SAP NetWeaver версий 7.30-7.5. Речь о компоненте LM Configuration Wizard, который является частью SAP NetWeaver Application Server (AS) .

В своем отчете исследователи предупреждали, что проблема позволяет злоумышленникам, минуя все средства контроля доступа и авторизации, создавать новые учетные записи для SAP-приложений, доступных из интернета, с максимальными привилегиями. По сути это даст хакерам полный контроль над SAP-ресурсами скомпрометированных компаний.

Специалисты Onapsis предполагают, что число компаний, которым угрожает данная проблема, равно примерно 40 000, хотя не все они «светят» уязвимыми приложениями в интернете. Так, проведенное исследователями сканирование показало, что в сети можно обнаружить около 2500 SAP-систем, которые в настоящее время уязвимы перед RECON (33% в Северной Америке, 29% в Европе и 27% в Азиатско-Тихоокеанском регионе).

Также на этой неделе инженеры SAP устранили еще одну уязвимость, отслеживаемую как CVE-2020-6286. Этот баг позволяет неавторизованному злоумышленнику загружать файлы ZIP в определенный каталог, что в итоге приводит к обходу каталога.

Вчера специалисты компании Bad Packets предупредили, что на GitHub уже появились PoC-эксплоиты для обеих упомянутых уязвимостей. Более того, компания предупреждает, что уже были замечены первые сканирования, направленные по поиск уязвимых систем.

Издание Bleeping Computer отмечает, что опубликованный эксплоит, к счастью, не поможет для удаленного выполнения кода (исследователь не стал рисковать и публиковать RCE-инструмент в открытом доступе), но позволяет загружать произвольные ZIP-архивы из уязвимых систем.

Специалисты еще раз напоминают всем администраторам о необходимости срочной установки патчей.