S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 15 juillet 2020
N° CERTFR-2020-ALE-17
Affaire suivie par: CERT-FR
le 15 juillet 2020

Bulletin d'alerte du CERT-FR

Objet: Multiples vulnérabilités dans SAP Netweaver AS JAVA

Gestion du document

Référence CERTFR-2020-ALE-17
Titre Multiples vulnérabilités dans SAP Netweaver AS JAVA
Date de la première version 15 juillet 2020
Date de la dernière version 12 octobre 2020
Source(s) Bulletin de sécurité SAP du 14 juillet 2020
Bulletin CERT-FR CERTFR-2020-AVI-432 du 15 juillet 2020
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque(s)

  • Contournement de la politique de sécurité
  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données

Systèmes affectés

  • LM Configuration Wizard de SAP NetWeaver AS JAVA version 7.30
  • LM Configuration Wizard de SAP NetWeaver AS JAVA version 7.31
  • LM Configuration Wizard de SAP NetWeaver AS JAVA version 7.40
  • LM Configuration Wizard de SAP NetWeaver AS JAVA version 7.50

Résumé

[Mise à jour du 22 juillet 2020]

Le CERT-FR a connaissance de codes d'attaques disponibles publiquement.

Le CERT-FR renouvelle sa recommandation d'appliquer les correctifs de sécurité dans les plus brefs délais.

SAP fournit plus de renseignements à ses clients dans sa note 2934135 (https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html)

[Publication initiale]

De multiples vulnérabilités ont été découvertes dans le composant LM Configuration Wizard de SAP Netweaver AS JAVA. Un attaquant non authentifié peut contourner la politique de sécurité pour exécuter différentes actions d'administration. En particulier, l'attaquant est en mesure de créer un compte avec les droits administrateurs pour se maintenir sur le système.

Solution

L'exposition de Netweaver AS requiert l'application des correctifs sans délai. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Le CERT-FR recommande également d'appliquer les mesures de sécurisation des applications accessibles en nomadisme [1].

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommander d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Documentation

Gestion détaillée du document

    le 15 juillet 2020
    Version initiale
    le 22 juillet 2020
    Des codes d'attaques sont disponibles publiquement.
    le 12 octobre 2020
    Clôture de l'alerte. La clôture d'une alerte ne signifie pas la fin d'une menace. Seule l'application de la mise à jour permet de vous prémunir contre l'exploitation de la vulnérabilité correspondante.