SAP patscht eine kritische Schwachstelle, mit der sich Admin Accounts erstellen lassen

Das Cloud-Security Unternehmen Onapsis hat die Schwachstelle mit der CVE-2020-6287 im Mai entdeckt und an SAP gemeldet.
Onapsis hat dem Bug mit CVSS Score 10 (von 10!) den Codenamen RECON (Remotely Exploitable Code On NetWeaver) gegeben.

Die Schwachstelle sei laut Onapsis leicht auszunutzen und betrifft eine Standardkomponente in jeder SAP Applikation, die den SAP NetWeaver Java Technologiestack – die LM Configuration-Wizard Komponente als Teil des SAP NetWeaver Application Server (AS) – nutzt.

Die Schwachstelle lässt sich remote ausnutzen und kann dazu verwendet werden, sich remote Benutzer-Accounts mit höchsten Priviliegien anzulegen.

Wie können Unternehmen vorgehen?

Best-Case wäre den Patch einzuspielen.

Da jedoch die Patchzyklen aufgrund von Testanforderungen an Business-Applikationen vor Updates normalerweise etwas länger sind, sollte zumindest als ein Minimum der empfohlene Workaournd, den LM Configuration-Wizard zu deaktivieren, umgesetzt werden.

Unsere Kunden sind informiert

Mit unserem Pentest-as-a-Service Managed Service lösen wir bei betroffenen Systemen automatisiert Emerging-Scans aus und melden Schwachstellen ggf. proaktiv an das Cyberdefence-Center unserer Kunden.
Somit reduziert sich die Attack-Surface der exponierten Dienste um ein vielfaches.