RECON – krytyczna podatność w SAP Netweaver
Krytyczna podatność RECON w SAP Netweaver AS JAVA została zidentyfikowana przez zespół Onapsis i zgłoszona do SAP Security Response Team. RECON (Remotely Exploitable Code On NetWeaver) pozwala nieautoryzowanym użytkownikom na uzyskanie pełnego dostępu do systemu SAP. Podatność (id CVE-2020-6287) została uznana za KRYTYCZNĄ (maksymalny 10 punktowy poziom w skali CVSS)!
Według autorów „Wykorzystanie tej podatności pozwala atakującemu, z pominięciem autentykacji czyli loginu i hasła, na utworzenie nowego użytkownika SAP z pełnymi uprawnieniami w systemie. Umożliwia to na ominięcie wszystkich kontroli, które świadome przedsiębiorstwa wdrażają do zabezpieczenia swoich systemów (takich jak rozdział obowiązków, zarządzanie dostępem i tożsamością, czy rozwiązania GRC). W efekcie można uzyskać pełną kontrolę nad systemem SAP”.
Wstępnie szacuje się, że liczba podatnych systemów to ponad 40 000 na całym świecie!
Firmy, które są zainteresowane podniesieniem bezpieczeństwa systemu SAP, lub szkoleniami z tego obszaru zapraszamy do kontaktu: kontakt@grcadvisory.com
