CVE-2020-6207

Суть уязвимости

Уязвимость (CVE-2020-6207) в SAP Solution Manager (SM) позволяет удаленному злоумышленнику без аутентификации выполнить произвольный код на всех системах, где установлен и подключен к SM агент мониторинга (SAP Focused Run / SAP Solution Manager Diagnostics Agent, SMDAgent).

• Механизм: Критическая функция в компоненте User Experience Monitoring (SAP Focused Run) не требует аутентификации. Атакующий может отправить специально сформированный запрос к порту SMDAgent (по умолчанию 5XX13/5XX14, где XX — номер экземпляра).
• Результат: Полный компромисс всех хостов с агентом, что ведет к утечке данных, установке вредоносного ПО или движению по сети.

Как исправить

Установите официальный патч от SAP. Необходимая версия исправления зависит от версии вашего SAP Solution Manager.

1. Определите точную версию SAP Solution Manager. Это можно сделать через транзакцию SAINT (SAP Add-on Installation Tool) или SM51 (List of SAP Servers).

2. Установите соответствующий патч (SAP Note):

   • Для SAP Solution Manager 7.2: Установите исправление из SAP Note 2890213.
   • Для SAP Solution Manager 7.1 и SAP Focused Run (FRUN): Установите исправление из SAP Note 2898733.

   Процесс установки патча: * Загрузите файлы исправления с портала SAP Support (https://support.sap.com). * Используйте транзакцию SNOTE (SAP Note Assistant) для импорта и применения исправления. * Следуйте инструкциям в SAP Note. После применения может потребоваться перезапуск соответствующих сервисов или экземпляров.

3. Обновите SMDAgents на всех подключенных системах. После обновления центрального Solution Manager обязательно обновите агенты на всех мониторируемых хостах до последней версии. Инструкции по обновлению агентов содержатся в SAP Note.

Временное решение

Если немедленная установка патча невозможна, примите следующие меры для снижения риска:

1. Ограничьте сетевой доступ к портам SMDAgent. Настройте правила межсетевого экрана (Firewall), чтобы разрешить входящие подключения к портам агента ТОЛЬКО с доверенных IP-адресов (например, только с сервера SAP Solution Manager). Пример для iptables: bash # Разрешить только с IP Solution Manager (например, 10.0.1.100) на порт агента 50013 iptables -A INPUT -p tcp --dport 50013 -s 10.0.1.100 -j ACCEPT iptables -A INPUT -p tcp --dport 50013 -j DROP Замените 50013 на актуальный порт вашего агента.

2. Настройте правила WAF (Web Application Firewall). Если трафик к SMDAgent проходит через WAF, создайте правило для блокировки запросов, содержащих известные сигнатуры эксплуатации данной уязвимости (например, определенные шаблоны в URI или теле запроса). Обратитесь к вендору WAF за актуальными сигнатурами.

3. Повысьте мониторинг. Настройте повышенное логирование и алертирование на хостах с SMDAgent для обнаружения подозрительных сетевых подключений или необычных процессов, связанных с агентом.