【安全通报】SAP NetWeaver AS Java 高危漏洞
SAP 是 SAP 公司的产品企业管理解决方案的软件名称。SAP官方发布安全更新,修复了一个存在于 SAP NetWeaver AS Java(LM配置向导)7.30 至 7.50 版本中的严重漏洞 CVE-2020-6287,CVSS 评分 10 分。未经身份验证的远程攻击者可以通过创建具有最大特权的新 SAP 用户,绕过所有访问和授权控制,从而完全控制 SAP 系统。
CVE 编号
CVE-2020-6287
影响范围
- SAP NetWeaver AS JAVA(LM Configuration Wizard)7.30
- SAP NetWeaver AS JAVA(LM Configuration Wizard)7.31
- SAP NetWeaver AS JAVA(LM Configuration Wizard)7.40
- SAP NetWeaver AS JAVA(LM Configuration Wizard)7.50
其中潜在受影响的 SAP 解决方案包括(但不限于):
- SAP Enterprise Resource Planning(ERP)
- SAP Product Lifecycle Management
- SAP Customer Relationship Management
- SAP Supply Chain Management(SCM)
- SAP Supplier Relationship Management
- SAP NetWeaver Business Warehouse
- SAP Business Intelligence
- SAP NetWeaver Mobile Infrastructure
- SAP Enterprise Portal
- SAP Process Orchestration/Process Integration
- SAP Solution Manager
- SAP NetWeaver Development Infrastructure
- SAP Central Process Scheduling
- SAP NetWeaver Composition Environment
- SAP Landscape Manager
根据目前FOFA系统最新数据(一年内数据),显示全球范围内(server="SAP NetWeaver Application Server" && server="as java")共有 7,629 个相关服务对外开放。美国使用数量最多,共有 1,795 个;中国第二,共有 1,402 个;印度第三,共有 640 个;哥伦比亚第四,共有 475 个;德国第五,共有 411 个。
全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)
中国大陆地区北京使用数量最多,共有 127 个;江苏、浙江第二,共有 83 个;广东第三,共有 70 个,上海第四,共有 61 个;山东第五,共有 25 个。
修复建议
- 建议将 SAP 对应产品 升级至安全版本。下载地址参考:https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552599675
参考
[1]. https://us-cert.cisa.gov/ncas/alerts/aa20-195a?spm=a2c4g.11174464.0.0.2d021051uLdUN5
白帽汇从事信息安全,专注于安全大数据、企业威胁情报。
公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。
为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。
最新评论