IT巨头SAP发布安全补丁，修复了一个超危漏洞。该漏洞编号为CVE-2020-6287，被称为RECON（Remotely Exploitable Code on NetWeaver），攻击者可利用该漏洞接管企业服务器。

该漏洞是由安全公司Onapsis发现的。根据安全专家的说法，攻击者可利用RECON漏洞在暴露在网上的SAP应用程序上创建具有最大权限的SAP用户账户，这意味着攻击者将会完全控制入侵的SAP系统。

RECON漏洞存在于SAP NetWeaver AS JAVA（LM Configuration Wizard）7.30版本至7.50版本，SAP NetWeaver AS JAVA是大多数SAP环境中的核心组件。

该组件用于多款流行的SAP产品，包括SAP S/4HANA，SAP SCM，SAP CRM，SAP CRM，SAP Enterprise Portal，和SAP Solution Manager（SolMan）。

RECON源于某个SAP NetWeaver AS Java web组件中缺少身份认证。

Onapsis在分析报告中写道，“如成功利用该漏洞，未经身份认证的攻击者（不需要用户名或密码）可创建拥有最高权限的新SAP用户，绕过所有的访问和授权控制（例如职责分离，身份管理和GRC解决方案），完全控制SAP系统。”

Onapsis的安全专家扫描互联网查找SAP系统，发现有2 500个系统暴露在线且受到RECON漏洞的影响。大部分系统位于北美（33%），然后是欧洲（29%）和亚太地区（27%）。

RECON漏洞容易利用，因此，它的CVSS v3漏洞严重程度评分为10。

建议SAP管理员尽快应用SAP补丁，避免攻击者完全控制他们的SAP应用程序，窃取敏感数据。

美国国土安全部（DHS）下属的网络安全和基础设施安全局（CISA）也发布了一则安全告警，敦促使用SAP解决方案的组织尽快应用安全补丁。无法立即部署该补丁的组织应通过禁用LM Configuration Wizard服务缓解该漏洞的影响。

CISA在告警中表示，“美国东部时间2020年7月13日，SAP发布一则安全更新，修复一个超危漏洞CVE-2020-6287，该漏洞影响SAP NetWeaver Application Server（AS）Java组件LM Configuration Wizard。未经身份认证的攻击者可借助HTTP协议利用该漏洞控制可信SAP应用程序。”

“由于该漏洞的严重性，该漏洞的攻击面，和SAP业务应用程序的重要性，CISA强烈建议组织立即应用补丁。CISA建议组织优先修复面向互联网的系统，然后再修复内部系统。”

CISA确认，在该报告发布之时，尚未获悉任何利用RECON漏洞的攻击。然而，由于补丁已经公开发布，安全专家认为威胁行为者可以逆向分析和研究该补丁，创建针对未修复系统的exploits。

-------------------------

本文源自Security Affairs；转载请注明出处。