Hier matin, nous avons pris connaissance de la divulgation de la CVE-2020-6287, appelée "RECON" (Remotely Exploitable Code On NetWeaver) par Onapsis Research Labs, qui affecte les dernières versions de la pile technologique Java de SAP NetWeaver.
Quelle est la gravité de RECON ? Cette vulnérabilité a le score CVSS maximal de 10, ce qui indique qu'elle est assez grave. Si un attaquant parvient à exploiter cette vulnérabilité sur un système affecté, il peut créer un utilisateur hautement privilégié pour exécuter du code arbitraire, voler des données sensibles, supprimer des données et avoir un impact sur la confidentialité, l'intégrité et la disponibilité du système SAP. Le score de gravité de la vulnérabilité reflète non seulement les dommages qui peuvent être causés, mais aussi la facilité avec laquelle ils peuvent l'être : les attaques exploitant cette vulnérabilité peuvent être menées sans aucune authentification ; en outre, bon nombre de ces systèmes exposés sont directement connectés à Internet, ce qui en fait des cibles de premier plan.
La bonne nouvelle, c'est que Censys scanne en permanence l'ensemble de l'Internet pour fournir un aperçu inégalé de l'étendue de RECON.
Bien que l'équipe d'Onapsis Research Labs estime qu'au moins 2 500 services SAP vulnérables sont orientés vers l'internet, nos données en indiquent plus de 10 000, dont plus de 26 entreprises Fortune 500 des secteurs de la vente au détail, des services publics, de la technologie, de la médecine, de la chimie, des transports et de l'alimentation.
Il est temps d'appliquer des correctifs !
L'application d'un correctif est la meilleure solution et la plus urgente. SAP a publié un correctif hier et recommande vivement à ses clients de l'appliquer dès que possible.
Si l'idée d'essayer de trouver tous vos systèmes externes utilisant ce logiciel vulnérable vous donne des sueurs froides, il est temps d'envisager une plateforme de gestion de la surface d'attaque. L'analyse externe de votre surface d'attaque permet de compiler un catalogue complet des actifs, de sorte que lorsque des vulnérabilités sont révélées, il suffit d'une simple requête pour obtenir un plan d'action de remédiation.
Si vous êtes déjà client d'Attack Surface Management, vous pouvez vérifier si des versions du serveur d'application SAP NetWeaver sont concernées dans le registre des logiciels.
Vous souhaitez en savoir plus sur laplateforme de gestion de la surface d'attaque Censys ?
Pour les clients de Censys Enterprise Data, essayez la requête suivante pour trouver vos systèmes affectés :
SELECT ip, s.port_number, autonomous_system.description, s.certificate.subject_dn, SAFE_CAST(s.banner AS String) as raw_text, REGEXP_EXTRACT(SAFE_CAST(s.banner AS String), r'(?i)<title>(.*)<\/title>') as title FROM `censys-io.ipv4_banners_public.current`, UNNEST(services) as s WHERE REGEXP_CONTAINS(LOWER(SAFE_CAST(s.banner AS String)), r'(?i)SAP NetWeaver') AND REGEXP_CONTAINS(LOWER(SAFE_CAST(s.banner AS String)), r'(?i)AS Java 7.30|AS Java 7.31|AS Java 7.40|AS Java 7.50') AND (ip IN ("""your_ip_list""") OR lower(s.certificate.subject_dn) LIKE '%Your Company%')
Vous voulez que votre équipe de gestion des vulnérabilités s'appuie sur la puissance de Censys ? Contactez-nous dès aujourd'hui pour une démonstration