SAP hat eine kritische Schwachstelle in der Komponente LM-Konfigurationsassistent in der Java-Plattform des NetWeaver Application Server (AS) gepatcht, die es einem Angreifer ermöglicht, die Kontrolle über SAP-Anwendungen zu übernehmen.

Der Fehler, der als RECON bezeichnet und als CVE-2020-6287 geführt wird, wird mit einer maximalen CVSS-Punktzahl von 10 von 10 bewertet und könnte laut dem Cybersicherheitsunternehmen Onapsis, das den Fehler aufgedeckt hat, weltweit über 40.000 SAP-Kunden betreffen. Ein externer Angreifer kann uneingeschränkten Zugriff auf SAP-Systeme erhalten, indem er Benutzer mit weitgehenden Berechtigungen anlegt und dann beliebige Betriebssystembefehle mit diesen Rechten des SAP-Service-Benutzerkontos ausführt. Mit diesem uneingeschränkten Zugriff auf die SAP-Datenbank ist er nun in der Lage, Installationen zu kompromittieren, Informationen zu modifizieren oder auch Wartungstätigkeiten durchzuführen, wie etwa das Herunterfahren von SAP-Verbundanwendungen.

Schwachstelle betrifft mehrere Komponenten

Die Schwachstelle ist standardmäßig in SAP-Anwendungen vorhanden, die auf der Basis von SAP NetWeaver AS Java 7.3 und neuer (bis zu SAP NetWeaver 7.5) laufen. Dadurch sind mehrere SAP-Systeme gefährdet, wie z.B. SAP Enterprise Resource Planning, SAP Product Lifecycle Management, SAP Customer Relationship Management, SAP Supply Chain Management, SAP Business Intelligence und SAP Enterprise Portal.

Es wird Unternehmen empfohlen, Patches so schnell wie möglich einzuspielen und ihre SAP-Systeme auf alle bekannten Schwachstellen zu scannen und speziell auf  Benutzerberechtigungen hin zu analysieren.