CVE-2020-6287

SAP NetWeaver

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

SAP NetWeaver Application Server Java Platforms contains a missing authentication for critical function vulnerability allowing unauthenticated access to execute configuration tasks and create administrative users.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2020-6287, "RECON") в SAP NetWeaver AS Java позволяет неаутентифицированному удаленному злоумышленнику получить доступ к веб-сервису ConfigServlet по умолчанию. Через этот сервис можно: * Получить полный контроль над системой, создав нового пользователя с административными правами (например, в J2EE_ADMIN группе). * Выполнять критические задачи по конфигурации системы, что ведет к полной компрометации.

Как исправить

Установите официальный патч от SAP. Необходимая версия зависит от вашего базового релиза SAP NetWeaver AS Java.

  1. Определите точную версию своего SAP NetWeaver AS Java. Это можно сделать через транзакцию STUDIO (введите /nSTUDIO в командной строке SAP GUI) или проверив информацию в SAP Solution Manager.

  2. Установите соответствующий патч SAP Note. Основные патчи:

    • Для SAP NETWEAVER 7.30: Установите патч SAP Note 2934135. Уровень исправления (Support Package Stack) должен быть не ниже SP Level 12.
    • Для SAP NETWEAVER 7.31: Установите патч SAP Note 2934135. Уровень исправления должен быть не ниже SP Level 11.
    • Для SAP NETWEAVER 7.40: Установите патч SAP Note 2934135. Уровень исправления должен быть не ниже SP Level 14.
    • Для SAP NETWEAVER 7.50: Установите патч SAP Note 2934135. Уровень исправления должен быть не ниже SP Level 7.

    Процесс установки патча: * Загрузите соответствующий патч-архив (SAR) из SAP Support Portal (service.sap.com/patches). * Разверните его с помощью SAPCAR: bash SAPCAR -xvf <Имя_Файла_Patches>.SAR * Установите патч через инструмент JSPM (Java Support Package Manager) в режиме обновления (SDM/JSPM).

Временное решение

Если немедленная установка патча невозможна, выполните следующие шаги для блокировки доступа к уязвимому сервису:

  1. Ограничьте сетевой доступ. Настройте правила межсетевого экрана (firewall) или списки контроля доступа (ACL) на маршрутизаторах, чтобы разрешить доступ к портам SAP NetWeaver AS Java (обычно 5XX00-5XX99, где XX — номер экземпляра) только с доверенных IP-адресов (например, из сегмента администраторов или фронтенд-серверов SAP).

    • Пример правила для iptables (замените $TRUSTED_IP и $JAVA_PORT на свои значения): bash iptables -A INPUT -p tcp --dport $JAVA_PORT -s $TRUSTED_IP -j ACCEPT iptables -A INPUT -p tcp --dport $JAVA_PORT -j DROP

  2. Настройте SAP Web Dispatcher как обратный прокси. Разместите SAP Web Dispatcher перед уязвимыми экземплярами и настройте в нем строгую фильтрацию URL. Заблокируйте все запросы к пути уязвимого сервиса (/ctc/ConfigServlet).

  3. Внешний WAF (Web Application Firewall). Настройте правило во внешнем WAF для блокировки HTTP-запросов, содержащих в URI строку ConfigServlet.

ВАЖНО: Временные меры не устраняют уязвимость, а лишь усложняют ее эксплуатацию. Установка официального патча обязательна.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей