【安全通报】SAP NetWeaver AS Java 高危漏洞

0nise  1594天前

1.png

SAP 是 SAP 公司的产品企业管理解决方案的软件名称。SAP官方发布安全更新,修复了一个存在于 SAP NetWeaver AS Java(LM配置向导)7.30 至 7.50 版本中的严重漏洞 CVE-2020-6287,CVSS 评分 10 分。未经身份验证的远程攻击者可以通过创建具有最大特权的新 SAP 用户,绕过所有访问和授权控制,从而完全控制 SAP 系统。

CVE 编号

CVE-2020-6287

影响范围

  • SAP NetWeaver AS JAVA(LM Configuration Wizard)7.30
  • SAP NetWeaver AS JAVA(LM Configuration Wizard)7.31
  • SAP NetWeaver AS JAVA(LM Configuration Wizard)7.40
  • SAP NetWeaver AS JAVA(LM Configuration Wizard)7.50

其中潜在受影响的 SAP 解决方案包括(但不限于):

  • SAP Enterprise Resource Planning(ERP)
  • SAP Product Lifecycle Management
  • SAP Customer Relationship Management
  • SAP Supply Chain Management(SCM)
  • SAP Supplier Relationship Management
  • SAP NetWeaver Business Warehouse
  • SAP Business Intelligence
  • SAP NetWeaver Mobile Infrastructure
  • SAP Enterprise Portal
  • SAP Process Orchestration/Process Integration
  • SAP Solution Manager
  • SAP NetWeaver Development Infrastructure
  • SAP Central Process Scheduling
  • SAP NetWeaver Composition Environment
  • SAP Landscape Manager

根据目前FOFA系统最新数据(一年内数据),显示全球范围内(server="SAP NetWeaver Application Server" && server="as java")共有 7,629 个相关服务对外开放。美国使用数量最多,共有 1,795 个;中国第二,共有 1,402 个;印度第三,共有 640 个;哥伦比亚第四,共有 475 个;德国第五,共有 411 个。

全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)

2.png

中国大陆地区北京使用数量最多,共有 127 个;江苏、浙江第二,共有 83 个;广东第三,共有 70 个,上海第四,共有 61 个;山东第五,共有 25 个。

3.png

修复建议

  1. 建议将 SAP 对应产品 升级至安全版本。下载地址参考:https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552599675

参考

[1]. https://us-cert.cisa.gov/ncas/alerts/aa20-195a?spm=a2c4g.11174464.0.0.2d021051uLdUN5

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论