SAP исправила максимально опасную уязвимость
Фото: Pixabay
В компании Onapsis утверждают, что RECON позволяет злоумышленникам создавать учетную запись пользователя SAP с максимальными привилегиями для приложений SAP, размещаемых в Интернете, предоставляя злоумышленникам полный контроль над ресурсами SAP взломанных компаний.
Уязвимость проста в использовании и находится в компоненте по умолчанию, включенном в каждое приложение SAP, в котором работает стек технологий Java SAP NetWeaver, а именно - в компоненте мастера настройки LM сервера приложений SAP NetWeaver (AS).
Компонент используется в некоторых наиболее популярных продуктах SAP, включая SAP S / 4HANA, SAP SCM, SAP CRM, SAP CRM, SAP Enterprise Portal и SAP Solution Manager (SolMan), сообщает ZDNet.
Это также влияет на другие приложения SAP, использующие стек технологий SAP NetWeaver Java. По оценкам компании, это затрагивает около 40 тыс. клиентов SAP, однако не все они выставляют уязвимое приложение непосредственно в Интернете.
В Onapsis сообщают, что в результате проведенного ими сканирования было обнаружено около 2500 систем SAP, напрямую подключенных к Интернету, которые в настоящее время уязвимы для ошибки RECON.
Срочность применения этого патча оправдана. Oшибка RECON является одной из тех редких уязвимостей, которые получили максимум из 10 баллов по шкале серьезности уязвимостей CVSSv3.
10 баллов означает, что ошибка проста в использовании, поскольку не требует технических знаний; может быть автоматизирована для удаленных атак через Интернет; и не требует, чтобы злоумышленник уже имел учетную запись в приложении SAP или действительные учетные данные.
Как сообщал Startpack, ранее Microsoft опубликовала первые технические подробности о новой функции безопасности.
Комментариев пока не было