[SAP RECON] SAP JAVA: Ausführung von Konfigurationsaufgaben ohne Authentifizierung

Auswirkungen auf die Wirtschaft

Ein böswilliger, nicht authentifizierter Benutzer könnte die fehlende Authentifizierungsprüfung bei einem bestimmten Webdienst ausnutzen, der standardmäßig im SAP NetWeaver Java-Stack verfügbar ist, und so das Zielsystem vollständig kompromittieren.

Betroffene Komponenten – Beschreibung

Der LM CONFIGURATION WIZARD ist Teil von SAP NetWeaver JAVA, einer grundlegenden Schicht, die von verschiedenen SAP-Produkten genutzt wird, darunter:

• SAP Enterprise Portal
• SAP Solution Manager
• SAP PI/PO
• SAP-Landschaftsmanager
• unter anderem.

Alle Produkte, die auf SAP Java NetWeaver laufen, sind von dieser Sicherheitslücke betroffen. Betroffene Komponenten:

• LM-Konfigurationsassistent 7.30 SP019 Patch 0000
• LM-Konfigurationsassistent 7.30 SP020 Patch 0000
• LM-Konfigurationsassistent 7.31 SP023 Patch 0000
• LM-Konfigurationsassistent 7.31 SP024 Patch 0000
• LM-Konfigurationsassistent 7.31 SP025 Patch 0000
• LM-Konfigurationsassistent 7.31 SP026 Patch 0000
• LM-Konfigurationsassistent 7.40 SP018 Patch 0000
• LM-Konfigurationsassistent 7.40 SP019 Patch 0000
• LM-Konfigurationsassistent 7.40 SP020 Patch 0000
• LM-Konfigurationsassistent 7.40 SP021 Patch 0000
• LM-Konfigurationsassistent 7.50 SP012, Patch 0001 und früher
• LM-Konfigurationsassistent 7.50 SP013, Patch 0002 und früher
• LM-Konfigurationsassistent 7.50 SP014, Patch 0001 und früher
• LM-Konfigurationsassistent 7.50 SP015, Patch 0001 und früher
• LM-Konfigurationsassistent 7.50 SP016, Patch 0001 und früher
• LM-Konfigurationsassistent 7.50 SP017, Patch 0001 und früher
• LM-Konfigurationsassistent 7.50 SP018 Patch 0000

(Ausführliche Informationen zu den betroffenen Releases finden Sie im SAP-Hinweis Nr. 2934135)

Details zur Sicherheitslücke

Der SOAP-Endpunkt des CTCWebService erfordert keine Benutzerauthentifizierung, um mit ihm zu interagieren. Die von diesem Webdienst bereitgestellten Funktionen ermöglichen es Benutzern, verschiedene Verwaltungsaufgaben durchzuführen. Da keine Authentifizierung erforderlich ist, könnte jeder böswillige Akteur mit HTTP-Zugriff auf den Dienst diese Funktionen missbrauchen, um das Zielsystem vollständig zu kompromittieren. Einige Beispiele dafür, was damit erreicht werden könnte:

• Erstellung eines Administratoren-Benutzers.
• Beliebige Zuweisung von Berechtigungen an einen Benutzer.
• Offenlegung von Informationen.

Lösung

SAP hat den SAP-Hinweis 2934135 veröffentlicht, der gepatchte Versionen der betroffenen Komponenten enthält. Die Patches können heruntergeladen werden unter https://service.sap.com/sap/support/notes/2934135. Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitspatches herunterzuladen und auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken zu minimieren.

Zeitachse des Berichts

• 27.05.2020: Onapsis übermittelt Daten an SAP.
• 01.06.2020: SAP bestätigt, über die Informationen zu dieser Sicherheitslücke zu verfügen.
• 08.06.2020: SAP gibt folgenden Status bekannt: „In Bearbeitung“.
• 07.04.2020: SAP veröffentlicht einen Patch.

---

QUELLENANGABEN

• Blogbeitrag von Onapsis: https://onapsis.com/blog/sap-security-notes-july-2020-recon
• Onapsis-Bedrohungsbericht: https://onapsis.com/recon-sap-cyber-security-vulnerability
• Onapsis IOC-Tool: https://github.com/Onapsis/CVE-2020-6287_RECON-scanner
• Warnung von US-CERT und CISA:https://us-cert.cisa.gov/ncas/alerts/aa20-195a
• CVE Mitre: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6287
• Hersteller-Patch:https://launchpad.support.sap.com/#/notes/2934135
• Hersteller RECON – Häufig gestellte Fragen: https://launchpad.support.sap.com/#/notes/2948106
• Informationen zum Anbieter RECON: https://launchpad.support.sap.com/#/notes/2947895