RECON: vulnerabilidad crítica en SAP NetWeaver permite secuestrar los servidores sin autenticación
SAP, la conocida empresa de software de gestión empresarial, acaba de
publicar un parche
que soluciona varios errores en
SAP NetWeaver AS JAVA
en su componente web. Las mayor de las vulnerabilidades afecta al asistente de
configuración ("LM Configuration Wizard"), permitiendo la creación de
usuarios con privilegios sin la necesidad de estar autenticado.
En julio, SAP ha lanzado 20 notas de seguridad nuevas o actualizadas y la SAP ha
publicado la Security Note #2934135 como crítica (10 de 10 en CVSS)
El error fue hallado y reportado por el investigador argentino Pablo Artuso de la empresa Onapsis. Su descubrimiento evitó lo que pudo haber sido una brecha en la seguridad de gigantes de los negocios a nivel internacional.
Debido a sus características, la vulnerabilidad identificada como CVE-2020-6287 y bautizada como RECON ha recibido la mayor puntuación CVSS, siendo ésta de 10 sobre 10. Aunque no hay evidencias de su explotación, los clientes de SAP que utilizan este componente (más de 40.000 empresas) deben actualizar lo antes posible.
La vulnerabilidad se encuentra presente en las versiones 7.30, 7.31, 7.40 y 7.50 de SAP NetWeaver AS JAVA, y según puede leerse en la publicación lanzada por CISA habría más de 15 productos de SAP afectados. Se recomienda igualmente actualizar utilizando el parche en vez de buscar posibles formas de mitigar el problema.
SAP ha puesto a disposición de sus clientes una nota con información adicional sobre este parche, el cual soluciona esta y otras vulnerabilidades.
Fuente: Hispasec
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!