SAP, NetWeaver Uygulama Sunucusu (AS) Java platformundaki LM Yapılandırma Sihirbazı bileşenini etkileyen ve kimliği doğrulanmamış bir saldırganın SAP uygulamalarının denetimini ele geçirmesine olanak tanıyan kritik bir güvenlik açığını düzelttiğini açıkladı[1].
RECON olarak adlandırılan açık, Onapsis siber güvenlik firması tarafından tespit edildi. CVE-2020-6287 hata kodu ile takip ediliyor. Onapsis’e göre potansiyel olarak 40.000 SAP müşterisini etkileyen hata 10 üzerinden 10’luk bir maksimum CVSS puanı ile derecelendirilmiş [2].
Onapsis’e göre RECON, Java için SAP NetWeaver AS’nin web bileşeninde kimlik doğrulama eksikliğinden kaynaklanıyor. Böylece saldırgana duyarlı SAP sistemi üzerinde yüksek ayrıcalıklı etkinlikler gerçekleştirmesi için izin veriyor.
SAP NetWeaver AS Java 7.3 ve daha yeni sürümlerinde (SAP NetWeaver 7.5’e kadar) çalışan SAP uygulamalarında fabrika ayarlarında bu hata yer alıyor. SAP Kurumsal Kaynak Planlaması, SAP Ürün Yaşam Döngüsü Yönetimi dahil ancak bunlarla sınırlı olmamak üzere çeşitli SAP iş çözümleri için risk taşıyor.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) SAP açığı hakkında şunları kaydetti [3]:
“Başarıyla istismar edilirse, kimliği doğrulanmamış uzaktaki bir saldırgan, yüksek ayrıcalıklı kullanıcıların oluşturulması ve SAP’ye sınırsız erişimi olan SAP hizmeti kullanıcı hesabının ayrıcalıklarıyla isteğe bağlı işletim sistemi komutlarının yürütülmesi yoluyla SAP sistemlerine sınırsız erişim elde edebilir. veritabanı ve federasyonlu SAP uygulamalarını kapatma gibi uygulama bakım faaliyetlerini gerçekleştirebilir.
SAP uygulaması tarafından barındırılan verilerin ve işlemlerin gizliliği, bütünlüğü ve kullanılabilirliği bu güvenlik açığı nedeniyle risk altındadır.”
Güvenlik açığından etkin bir şekilde yararlanıldığına dair hiçbir kanıt bulunmuyor. Ama CISA, yamaların kullanılabilirliğinin rakiplerin istismarları kötüye kullanma ve işlenmemiş sistemleri hedeflemesi için tersine mühendislik yapmasını kolaylaştırabileceği uyarısı yaptı.
RECON’un ciddiyeti göz önüne alındığında, kuruluşların mümkün olan en kısa sürede kritik düzeltme ekleri uygulaması gerekiyor. İlaveten, SAP sistemlerinin bilinen tüm güvenlik açıklarına karşı taraması ve sistemleri kötü amaçlı veya aşırı kullanıcı yetkileri açısından analiz etmesi öneriliyor.
[1] SAP Security Patch Day – July 2020
[3] ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) bir Alert (AA20-195A)
Critical Vulnerability in SAP NetWeaver AS Java
