image

Ernstig lek in SAP Netweaver maakt overnemen van systemen mogelijk

dinsdag 14 juli 2020, 12:07 door Redactie, 5 reacties

Softwarebedrijf SAP heeft een ernstige kwetsbaarheid verholpen die in elke SAP-applicatie aanwezig is die van de SAP NetWeaver Java software stack gebruikmaakt. Het beveiligingslek (CVE-2020-6287) is op een schaal van 1 tot en met 10 wat betreft de ernst met een 10 beoordeeld en maakt het mogelijk voor aanvallers om systemen op afstand over te nemen. Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid verwacht dat er op korte termijn misbruik van de kwetsbaarheid zal worden gemaakt.

SAP Netweaver is een platform voor het draaien van SAP-applicaties. De nu verholpen kwetsbaarheid was aanwezig in de LM Configuration Wizard van de SAP NetWeaver Application Server voor Java. Door een gebrek aan authenticatie is het voor een ongeauthenticeerde aanvaller mogelijk om bij SAP-applicaties die op de SAP NetWeaver Application Server voor Java draaien commando's met rechten van het SAP service user account uit te voeren en "high-privileged" gebruikers aan te maken, waardoor er onbeperkte toegang tot het SAP-systeem kan worden verkregen. Verdere technische details zijn nog niet openbaar gemaakt.

Het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security, waarschuwt dat de kwetsbaarheid standaard aanwezig is in SAP-applicaties die op de SAP NetWeaver Application Server voor Java draaien. Het gaat onder andere om de SAP Enterprise Portal, SAP ERP, SAP S/4HANA en SAP CRM.

"Veel SAP applicaties zijn volgens goed gebruik niet publiek toegankelijk. SAP Enterprise Portal is vanwege zijn functie wel publiek toegankelijk. Indien SAP Enterprise Portal geïmplementeerd is op de Netweaver AS, is de kwetsbaarheid dus mogelijk op afstand uit te buiten", laat het NCSC weten. De organisatie merkt op dat er nog geen direct misbruik is waargenomen, maar misbruik wel zeer binnenkort wordt verwacht.

De kwetsbaarheid werd gevonden door securitybedrijf Onapsis. Het bedrijf laat aan Threatpost weten dat het minstens 2500 systemen met SAP-applicaties heeft gevonden die vanaf het internet toegankelijk zijn en risico lopen. De kwetsbaarheid is aanwezig in versies 7.30, 7.31, 7.40 en 7.50 van NetWeaver AS Java. Organisaties met publiek toegankelijke systemen wordt aangeraden om de update binnen 24 uur te installeren.

Reacties (5)
14-07-2020, 14:44 door Anoniem
FFS

al die grote awsome IT bedrijven. een grote puin zooi en ja als je dan als bijv de BD / UWV met dat soort bedrijven te maken hebt [naast je eigen interne 'cultuur probleempjes'], dan is het toch niet raar allemaal wat we zien in de parktijk?

en dat SAP is al een draak van een ding, bij elke update is er wel weer een browser die ineens niet meer goed werkt en dan is het steevast 'de schuld van de browser'.
14-07-2020, 20:53 door Anoniem
Door Anoniem: FFS

al die grote awsome IT bedrijven. een grote puinzooi en ja als je dan als bijv. de BD / UWV met dat soort bedrijven te maken hebt [naast je eigen interne 'cultuurprobleempjes'], dan is het toch niet raar allemaal, wat we zien in de praktijk?
Ik heb nooit begrepen waarom bedrijven dachten SAP nodig te hebben. Het is een gigantische brok ellende en daarmee een dankbaar verdienobject voor allerhande "consultants". Het belooft "bouwstenen" die dingen doen en die je dan weer aanelkaar kan klussen maar ik heb het idee dat je het gros ook wel met wat handig opgezette kleine shell-scripts kan doen. Maar mischien ook niet hoor, mischien zit er echt wel iets van waarde tussen. Ergens.

UWV zet in op zo min mogelijk presteren met zo veel mogelijk mensen en huurt daar graag en grif allerlei grote en dus dure "dienstverleners" voor in. Nouja, allerlei... ze hebben zo hun vrindjes. De belastingdienst... blijkt een klein en goedkoop en effectief systeem de nek om te hebben gedraaid en de knutselaar zeer onheus bejegend omdat er elders in de organisatie een koninkje met een veel duurder en ineffectiever luchtfietssysteem aan het knoeien was.

en dat SAP is al een draak van een ding, bij elke update is er wel weer een browser die ineens niet meer goed werkt en dan is het steevast 'de schuld van de browser'.
Natuurlijk, want het is niet de browser die de ontwikkelaar gebruikt. Datzelfde zie je ook bij, oh, de meeste websites die "modern" willen zijn.

Hadden we trouwens hier ook laatst, zo iemand die roeptoeterde dat er maar even geupgrade moest worden naar de laatste nieuwste features. Niet omdat het aan functionaliteit toevoegde, en dat er dan allerlei oude browsers de site niet meer op zouden kunnen dat was werkelijk volstrekt geen noemenswaardig thema. Een reden verzinnen waarom zijn voorstellen goede ideetjes zouden zijn kon'ie al helemaal niet, dat was nogal beneden zijn waardigheid. Maar het moest en zou zeker verherverbouwd met de laatste verhervernieuwingen. Rare houding is dat toch, maar je ziet het regelmatig in de eye-see-tea.
15-07-2020, 08:54 door Anoniem
Gewoon de Chrome browser gebruiken zoals SAP adviseert en klaar ben je. Security problemen worden gewoon gemeld op sapnet dus beheer uitvoeren, updates bijhouden en SAP aanbevelingen uitvoeren (ipv alleen maar janken dat SAP slecht is en koffie drinken) en dan gaat het vast allemaal beter.
15-07-2020, 11:54 door Anoniem
Door Anoniem: Gewoon de Chrome browser gebruiken zoals SAP adviseert en klaar ben je. Security problemen worden gewoon gemeld op sapnet dus beheer uitvoeren, updates bijhouden en SAP aanbevelingen uitvoeren (ipv alleen maar janken dat SAP slecht is en koffie drinken) en dan gaat het vast allemaal beter.

het is duidelijk dat jij niet in een grote logge organisatie werkt. mag niet zo maar iets op PC instaleren, SAP wordt centraal beheert en updates (om dingen te fixen) zijn eerder jaarlijks ivm contracten etc.
15-07-2020, 21:40 door Anoniem
Door Anoniem:
Door Anoniem: Gewoon de Chrome browser gebruiken zoals SAP adviseert en klaar ben je. Security problemen worden gewoon gemeld op sapnet dus beheer uitvoeren, updates bijhouden en SAP aanbevelingen uitvoeren (ipv alleen maar janken dat SAP slecht is en koffie drinken) en dan gaat het vast allemaal beter.

het is duidelijk dat jij niet in een grote logge organisatie werkt. mag niet zo maar iets op PC instaleren, SAP wordt centraal beheert en updates (om dingen te fixen) zijn eerder jaarlijks ivm contracten etc.


Ik werk wel degelijk voor een groot bedrijf. Indien SAP chrome als browser voor bijvoorbeeld C4C voorschrijft dan moet je als bedrijf zijnde simpelweg dit advies volgen en dus overal uitrollen (dat is wat ik bedoel). SAP wordt zeker centraal beheert en release wissels (EhP's of FPSen) zijn meermaals per jaar. Patches, en zeker als het om issues zoals als dit gaat, worden direct uitgerold ..

SAP is zeker geen brok ellende maar sommige mensen hebben wel de gave om er een brok ellende van te maken
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.