SAP ha corregido una vunerabilidad crítica que afecta al componente LM Configuration Wizard de los sistemas SAP NetWeaver Application Server (AS) Java platform, permitiendo a un atacante no autorizado ejecutar tareas de configuración para realizar acciones críticas en los sistemas SAP Netweaver Java.

El fallo, denominado RECON y listado como CVE-2020-6287, está valorado con un valor máximo de 10 sobre 10 en CVSS. El problema puede afectar potencialmente  a unos 40,000 clientes de SAP, según la firma de ciberseguridad Onapsis, que ha sido quien ha descubierto el fallo en colaboración con SAP.

Relacionada a esta vulnerabilidad, se ha detectado otra vulnerabilidad listada como CVE-2020-6286, que permite a un atacante utilizar un método para descargar ficheros zip del servidor a un directorio específico, que conduce a un problema denominado Path Traversal.

“Aprovechando esta vulnerabilidad, un atacante remoto no autenticado en el sistema, puede obtener acceso al sistema SAP sin ningún tipo de restricción mediante la creación de usuarios con permiso total de administración en el sistema. Estos usuarios se podrían utilizar para realizar cualquier tipo de tareas de administración en el sistema, como por ejemplo: arrancar y detener aplicaciones, modificar configuraciones del sistema o tener acceso a la base de datos del sistema SAP”.

“Esta vulnerabilidad pone en riesgo la confidencialidad, integridad y disponibilidad de los datos y procesos del sistema SAP” es lo que ha publicado la Agencia de Cybersecuridad y Seguridad de Infraestructuras (CISA) de EEUU en un comunicado de advertencia.

La vulnerabilidad está presente en la aplicación de un componente de SAP ejecutándose desde las versiones SAP NetWeaver AS Java 7.3 o superiores, hasta las últimas versiones SAP NetWeaver 7.5. Esto pone en peligro varios productos de SAP, incluyendo pero no limitándose a: SAP Enterprise Resource Planning, SAP Product Lifecycle Management, SAP Customer Relationship Management, SAP Supply Chain Management, SAP Business Intelligence y SAP Enterprise Portal.

De acuerdo con Onapsis, RECON se debe a la falta de autenticación en un componente Web de SAP NetWeaver AS for Java y puede proporcionar a un atacante la posibilidad de realizar actividades que requieren privilegios elevados en el sistema SAP atacado.

Como informa el comunicado de la CISA, “Un atacante remoto, sin credenciales de acceso, puede aprovechar esta vulnerabilidad utilizando los protocolos HTTP/HTTPS, que habitualmente está expuesto a usuarios finales y en ocasiones, publicados y accesibles desde Internet”.

Aunque no se tiene constancia de que la vulnerabilidad haya sido aprovechada, SAP recomienda aplicar las correcciones liberadas inmediatamente para evitar posibles ataques y la creación de exploits que puedan dirigirse a sistemas vulnerables no parcheados.

Por parte de SAP, ha liberado una SAP Notes crítica con la información para corregir y mitigar la vulnerabilidad:

2934135 – [CVE-2020-6287] Multiple Vulnerabilities in SAP NetWeaver AS JAVA (LM Configuration Wizard)2934135 – [CVE-2020-6287] Multiple Vulnerabilities in SAP NetWeaver AS JAVA (LM Configuration Wizard)

Dada la gravedad de RECON, todas las empresas con sistemas SAP Netweaver Java deberían aplicar las correcciones liberadas por SAP lo antes posible y analizar los sistemas para verificar las autorizaciones críticas de sus usuarios.

En Oreka I.T. tenemos todas las herramientas para analizar si su sistema es vulnerable y corregir el problema. También podemos verificar las autorizaciones críticas de los usuarios de sus sistemas SAP, para cumplir con las recomendaciones de seguridad que propone SAP.