CVE-2021-38163

SAP NetWeaver

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-06-09

Официальное описание

SAP NetWeaver contains a vulnerability that allows unrestricted file upload.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2021-38163 представляет собой критическую уязвимость типа Unrestricted File Upload в компоненте SAP NetWeaver (Visual Composer 7.0 RT). Проблема заключается в недостаточной проверке входных данных при загрузке файлов на сервер.

Злоумышленник может загрузить произвольные файлы (например, скрипты оболочки или вредоносные исполняемые файлы) в обход механизмов безопасности. Это позволяет удаленно выполнить произвольный код (RCE) в контексте безопасности сервера приложений SAP, что ведет к полной компрометации системы, краже данных или нарушению доступности сервисов.

Как исправить

Основным способом устранения уязвимости является установка соответствующих обновлений безопасности (Security Notes), выпущенных компанией SAP.

  1. Определите версию вашего компонента SAP NetWeaver AS Java.
  2. Перейдите на SAP Support Portal.
  3. Скачайте и примените исправления, указанные в SAP Security Note #3073014.
  4. Для автоматизации проверки наличия необходимых патчей используйте транзакцию SNOTE (для ABAP-стека, если применимо) или SAP Download Manager для Java-компонентов.

Пример проверки версии установленного компонента через консоль (для систем на базе Linux):

/usr/sap/<SID>/SYS/exe/jvm/bin/java -cp /usr/sap/<SID>/<Instance>/j2ee/cluster/bin/services/deploy.jar com.sap.engine.services.deploy.CheckVersion

Временные меры

Если немедленная установка патчей невозможна, необходимо реализовать компенсирующие меры для снижения риска эксплуатации:

  1. Ограничьте доступ к уязвимому сервису Visual Composer на уровне сетевого экрана (Firewall) или SAP Web Dispatcher, разрешив доступ только доверенным IP-адресам.
  2. Настройте правила фильтрации на Web Application Firewall (WAF) для блокировки подозрительных POST-запросов, направленных на эндпоинты загрузки файлов Visual Composer.
  3. Временно отключите неиспользуемые сервисы Visual Composer через SAP NetWeaver Administrator (NWA).
  4. Усильте мониторинг файловой системы на предмет появления нетипичных файлов в директориях временного хранения и исполнения Java-приложений.

Пример команды для поиска подозрительных файлов в директории SAP (Linux):

find /usr/sap/<SID>/ -name "*.jsp" -mtime -1
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей