Ayer por la mañana, leímos la divulgación de CVE-2020-6287, llamado "RECON" (Remotely Exploitable Code On NetWeaver) por Onapsis Research Labs, que afecta a las últimas versiones de la pila tecnológica SAP NetWeaver Java.
¿Cuál es la gravedad de RECON? Esta vulnerabilidad tiene la máxima puntuación CVSS de 10, lo que indica que es bastante grave. Si un atacante puede explotar esta vulnerabilidad en un sistema afectado, puede crear un usuario con privilegios elevados para ejecutar código arbitrario, robar datos confidenciales, eliminar datos y afectar de otro modo a la confidencialidad, integridad y disponibilidad del sistema SAP. La puntuación de gravedad de la vulnerabilidad refleja no sólo el daño que se puede hacer, sino la facilidad con la que se puede hacer: los ataques que aprovechan esta vulnerabilidad se pueden llevar a cabo sin autenticación alguna; además, muchos de estos sistemas expuestos están expuestos directamente a Internet, lo que los convierte en objetivos de alto perfil.
La buena noticia es que Censys escanea todo Internet todo el tiempo para proporcionar una visión sin precedentes del alcance de RECON.
Aunque el equipo de Onapsis Research Labs calcula que al menos 2.500 servicios SAP vulnerables están orientados a Internet, nuestros datos indican que son más de 10.000, entre los que se incluyen más de 26 empresas de la lista Fortune 500 de los sectores minorista, de servicios públicos, tecnológico, médico, químico, de transporte y alimentario.
¡Hora de parchear!
Parchear es la mejor medida y la más urgente. SAP publicó ayer un parche e insta encarecidamente a sus clientes a aplicarlo lo antes posible.
Si la idea de tratar de encontrar todos sus sistemas de cara al exterior que ejecutan este software vulnerable le hace sudar frío, es hora de considerar una plataforma de gestión de la superficie de ataque. El escaneado externo de su superficie de ataque compila un catálogo completo de activos, de modo que cuando se revelan vulnerabilidades, un plan de acción de remediación está a una sola consulta de distancia.
Si ya es cliente de Attack Surface Management, puede comprobar las versiones afectadas del servidor de aplicaciones SAP NetWeaver en la base de datos de software.
¿Está preparado para obtener más información sobre laplataforma Censys Attack Surface Management?
Para los clientes de Censys Enterprise Data, intente la siguiente consulta para encontrar sus sistemas afectados:
SELECT ip, s.port_number, autonomous_system.description, s.certificate.subject_dn, SAFE_CAST(s.banner AS String) as raw_text, REGEXP_EXTRACT(SAFE_CAST(s.banner AS String), r'(?i)<title>(.*)<\/title>') as title FROM `censys-io.ipv4_banners_public.current`, UNNEST(services) as s WHERE REGEXP_CONTAINS(LOWER(SAFE_CAST(s.banner AS String)), r'(?i)SAP NetWeaver') AND REGEXP_CONTAINS(LOWER(SAFE_CAST(s.banner AS String)), r'(?i)AS Java 7.30|AS Java 7.31|AS Java 7.40|AS Java 7.50') AND (ip IN ("""your_ip_list""") OR lower(s.certificate.subject_dn) LIKE '%Your Company%')
¿Desea contar con la potencia de Censys para respaldar a su equipo de gestión de vulnerabilidades? Póngase en contacto con nosotros para una demostración
