CVE-2010-5326

SAP NetWeaver

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

SAP NetWeaver Application Server Java Platforms Invoker Servlet does not require authentication, allowing for remote code execution via a HTTP or HTTPS request.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимый сервлет /invoker/JMXInvokerServlet в SAP NetWeaver AS Java не требует аутентификации. Злоумышленник может отправить специально сформированный HTTP/HTTPS запрос к этому сервлету для выполнения произвольного Java-кода (десериализации) на сервере, что приводит к полному удаленному выполнению команд (RCE).

Как исправить

Установите официальный патч от SAP. Необходимая версия зависит от вашего релиза SAP NetWeaver AS Java. Ключевые заметки SAP: * SAP Note 1445998 – Основная нота для устранения уязвимостей, связанных с несанкционированным доступом к сервлетам. * SAP Note 1446605 – Содержит исправление для JMXInvokerServlet (CVE-2010-5326) и других сервлетов.

Порядок действий: 1. Определите точный номер версии и SPS (Support Package Stack) вашего SAP NetWeaver AS Java через транзакцию SAINT (SAP Add-on Installation Tool) или SLICENSE. 2. Войдите на портал SAP Support Portal и найдите указанные выше заметки (Notes). 3. В нотах найдите корректный патч (Support Package или Kernel Patch) для вашей версии. 4. Загрузите патч и установите его, следуя официальной инструкции SAP. Обычно это делается через JSPM (Java Support Package Manager) или SDM (Software Deployment Manager).

Пример команды для JSPM (после загрузки архива патча):

# Перейдите в директорию JSPM
cd /usr/sap/<SID>/<InstanceName>/j2ee/JSPM

# Запустите JSPM (конкретная команда может отличаться)
./go.sh

В интерфейсе JSPM выберите загруженный архив патча для установки.

Временное решение

Если немедленная установка патча невозможна, заблокируйте доступ к уязвимому сервлету.

  1. Настройте SAP ICM (Internet Communication Manager): Отредактируйте файл конфигурации icm/icm.conf (или соответствующий профиль). Добавьте правило для отклонения запросов к уязвимому пути.

    ```bash

    Пример правила для icm.conf

    PREFIX=/invoker/JMXInvokerServlet, FORBIDDEN ``` После изменения перезапустите экземпляр SAP.

  2. Настройте внешний брандмауэр или WAF: Создайте правило, блокирующее HTTP/HTTPS запросы, содержащие в URI путь /invoker/JMXInvokerServlet.

  3. Ограничьте сетевой доступ (крайняя мера): Настройте групповые политики или локальные брандмауэры (например, iptables), чтобы разрешить подключения к портам SAP (обычно 5XX00, 5XX01, 8XX00) только с доверенных IP-адресов (административных сегментов, рабочих станций администраторов).

    Пример для iptables (Linux): ```bash

    Разрешить доступ к порту 50000 только из сети 10.1.1.0/24

    iptables -A INPUT -p tcp --dport 50000 -s 10.1.1.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 50000 -j DROP ```

Важно: Временные решения — это меры снижения риска. Полное устранение уязвимости возможно только путем установки официального патча от SAP.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей