Alertas de seguridad

Vulnerabilidad Crítica en SAP NetWeaver Servidor de Aplicación JAVA

Existe una vulnerabilidad de bypass de autenticación en SAP NetWeaver AS JAVA (Asistente de configuración de LM), que le permite a un atacante sin autenticación previa ejecutar tareas de configuración para realizar acciones críticas contra el sistema SAP Java, incluida la capacidad para crear un usuario administrativo.

Versiones vulnerables

Según una alerta de la Agencia de Seguridad de Infraestructura de Ciberseguridad (CISA), CVE-2020-6287 está presente de forma predeterminada en las aplicaciones de SAP que se ejecutan sobre SAP NetWeaver AS Java v7.3 y posteriores, incluido SAP NetWeaver v7.5. Además, esto podría afectar una variedad de otras soluciones empresariales basadas en Java de SAP, incluidas las siguientes:

  • Planificación de recursos empresariales de SAP
  • Gestión del ciclo de vida del producto SAP
  • Gestión de relaciones con clientes de SAP
  • SAP Supply Chain Management
  • Gestión de relaciones con proveedores de SAP
  • SAP NetWeaver Business Warehouse
  • SAP Business Intelligence
  • Infraestructura móvil SAP NetWeaver
  • SAP Enterprise Portal
  • SAP Process Orchestration / Process Integration
  • Gerente de soluciones SAP
  • Infraestructura de desarrollo de SAP NetWeaver
  • SAP Central Process Scheduling
  • Entorno de composición de SAP NetWeaver
  • SAP Landscape Manager

Acciones recomendadas 

Para abordar esta CVE-2020-6287, SAP Product Security Response Team lanzó actualizaciones de seguridad en la nota de seguridad de SAP #2934135, parche de seguridad para julio de 2020. De acuerdo con la nota de seguridad, si el parche no se puede aplicar, la solución propuesta es desactivar el Servicio de configuración de LM (aplicación tc ~ lm ~ ctc ~ cul ~ startup_app).

Si bien la solución alternativa se define como "defensa en profundidad", SAP señala que esto "no es una solución", proporciona información adicional sobre cómo deshabilitar el Servicio de configuración de LM en la nota de seguridad de SAP # 2939665. En función de la gravedad de esta vulnerabilidad, recomiendan aplicar parches lo antes posible, centrándose en los sistemas con conexión a Internet que están en mayor riesgo que los sistemas internos.