Softwarefabrikant SAP heeft een ernstige kwetsbaarheid verholpen in de Java-softwarestack van NetWeaver. Die stack wordt door vrijwel alle SAP-software gebruikt. Met het lek kan volgens de fabrikant een systeem compleet worden overgenomen.
De kwetsbaarheid zat in versies 7.30, 7.31, 7.40 en 7.50 van NetWeaver AS Java, specifiek in de LM Configuration Wizard. Netweaver wordt gebruikt om de meeste applicaties van SAP te draaien. In de meeste gevallen is die software niet van buitenaf bereikbaar, maar bij gebruik van sommige applicaties, zoals de Enterprise Portal, is het lek van een afstand uit te buiten.
Door de kwetsbaarheid is het mogelijk voor een ongeauthenticeerde aanvaller om commando's uit te voeren met admin-privileges. Daarbij kunnen ook andere 'high-privileged'-gebruikers worden aangemaakt, die zo verdere toegang tot het systeem kunnen krijgen.
Op dit moment zijn nog geen technische details over de kwetsbaarheid bekend. De bug heeft code CVE-2020-6287 meegekregen en SAP heeft er inmiddels een patch voor vrijgegeven. Het bedrijf raadt bedrijven sterk aan die te implementeren. De bug krijgt een CVSS-score van 10/10.
Niet alleen SAP waarschuwt voor de ernst van het lek. Ook het Nederlandse Nationaal Cyber Security Center zegt tegen bedrijven dat ze het lek zo snel mogelijk moeten dichten. Het Digital Trust Center en de Amerikaanse CISA hebben eveneens waarschuwingen uitgedeeld. Meer details over de kwetsbaarheid worden woensdag bekend. De beveiligingsinstituten hebben op dit moment nog geen signalen dat de kwetsbaarheid wordt uitgebuit, maar verwachten die wel als die informatie naar buiten komt.