Gestern Morgen haben wir die Veröffentlichung von CVE-2020-6287, genannt "RECON" (Remotely Exploitable Code On NetWeaver) von Onapsis Research Labs gelesen, die die neuesten Versionen des SAP NetWeaver Java Technologie-Stacks betrifft.
Wie schwerwiegend ist RECON? Diese Sicherheitslücke hat den maximalen CVSS-Score von 10, was bedeutet, dass sie ziemlich schwerwiegend ist. Wenn ein Angreifer diese Schwachstelle auf einem betroffenen System ausnutzen kann, kann er einen hoch privilegierten Benutzer erstellen, um beliebigen Code auszuführen, vertrauliche Daten zu stehlen, Daten zu löschen und die Vertraulichkeit, Integrität und Verfügbarkeit des SAP-Systems anderweitig zu beeinträchtigen. Der Schweregrad der Schwachstelle spiegelt nicht nur den Schaden wider, der angerichtet werden kann, sondern auch die Leichtigkeit, mit der er angerichtet werden kann: Angriffe, die diese Schwachstelle ausnutzen, können völlig unauthentifiziert durchgeführt werden; außerdem sind viele dieser ungeschützten Systeme direkt dem Internet ausgesetzt, was sie zu hochrangigen Zielen macht.
Die gute Nachricht ist, dass Censys das gesamte Internet ständig scannt und so einen unvergleichlichen Einblick in das Ausmaß von RECON bietet.
Obwohl das Team von Onapsis Research Labs schätzt, dass mindestens 2.500 anfällige SAP-Dienste über das Internet zugänglich sind, zeigen unsere Daten, dass es eher 10.000 sind, darunter mehr als 26 Fortune-500-Unternehmen aus den Bereichen Einzelhandel, Versorgungsunternehmen, Technologie, Medizin, Chemie, Transport und Lebensmittel.
Zeit zum Flicken!
Ein Patch ist die beste und dringendste Maßnahme. SAP hat gestern einen Patch veröffentlicht und empfiehlt seinen Kunden dringend, diesen so schnell wie möglich einzuspielen.
Wenn Ihnen der Gedanke, alle Ihre nach außen gerichteten Systeme zu finden, auf denen diese anfällige Software läuft, den kalten Schweiß auf die Stirn treibt, ist es an der Zeit, eine Attack Surface Management-Plattform in Betracht zu ziehen. Durch das Scannen Ihrer Angriffsfläche nach außen wird ein umfassender Katalog von Ressourcen erstellt, sodass bei der Aufdeckung von Schwachstellen ein Aktionsplan zur Behebung nur eine einzige Abfrage entfernt ist.
Wenn Sie bereits Kunde von Attack Surface Management sind, können Sie im Software-Docket nach betroffenen Versionen des SAP NetWeaver Application Servers suchen.
Möchten Sie mehr über die Censys Attack Surface Management Plattform erfahren?
Kunden von Censys Enterprise Data können mit der folgenden Abfrage versuchen, die betroffenen Systeme zu finden:
SELECT ip, s.port_number, autonomous_system.description, s.certificate.subject_dn, SAFE_CAST(s.banner AS String) as raw_text, REGEXP_EXTRACT(SAFE_CAST(s.banner AS String), r'(?i)<title>(.*)<\/title>') as title FROM `censys-io.ipv4_banners_public.current`, UNNEST(services) as s WHERE REGEXP_CONTAINS(LOWER(SAFE_CAST(s.banner AS String)), r'(?i)SAP NetWeaver') AND REGEXP_CONTAINS(LOWER(SAFE_CAST(s.banner AS String)), r'(?i)AS Java 7.30|AS Java 7.31|AS Java 7.40|AS Java 7.50') AND (ip IN ("""your_ip_list""") OR lower(s.certificate.subject_dn) LIKE '%Your Company%')
Möchten Sie die Leistungsfähigkeit von Censys für Ihr Schwachstellenmanagement-Team nutzen? Kontaktieren Sie uns noch heute für eine Demo