Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
Systèmes affectés
- LM Configuration Wizard de SAP NetWeaver AS JAVA version 7.30
- LM Configuration Wizard de SAP NetWeaver AS JAVA version 7.31
- LM Configuration Wizard de SAP NetWeaver AS JAVA version 7.40
- LM Configuration Wizard de SAP NetWeaver AS JAVA version 7.50
Résumé
[Mise à jour du 22 juillet 2020]
Le CERT-FR a connaissance de codes d'attaques disponibles publiquement.
Le CERT-FR renouvelle sa recommandation d'appliquer les correctifs de sécurité dans les plus brefs délais.
SAP fournit plus de renseignements à ses clients dans sa note 2934135 (https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html)
[Publication initiale]
De multiples vulnérabilités ont été découvertes dans le composant LM Configuration Wizard de SAP Netweaver AS JAVA. Un attaquant non authentifié peut contourner la politique de sécurité pour exécuter différentes actions d'administration. En particulier, l'attaquant est en mesure de créer un compte avec les droits administrateurs pour se maintenir sur le système.
Solution
L'exposition de Netweaver AS requiert l'application des correctifs sans délai. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Le CERT-FR recommande également d'appliquer les mesures de sécurisation des applications accessibles en nomadisme [1].
La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommander d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.
Documentation
- Bulletin CERT-FR CERTFR-2020-AVI-432 du 15 juillet 2020 https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-432/
- [1] Guide ANSSI sur le nomadisme numérique https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/
- Bulletin de sécurité SAP du 14 juillet 2020 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552599675
- Référence CVE CVE-2020-6286 https://www.cve.org/CVERecord?id=CVE-2020-6286
- Référence CVE CVE-2020-6287 https://www.cve.org/CVERecord?id=CVE-2020-6287