Cybersecuritycentra waarschuwen voor ernstig lek in SAP NetWeaver Java-stack

Softwarefabrikant SAP heeft een ernstige kwetsbaarheid verholpen in de Java-softwarestack van NetWeaver. Die stack wordt door vrijwel alle SAP-software gebruikt. Met het lek kan volgens de fabrikant een systeem compleet worden overgenomen.

De kwetsbaarheid zat in versies 7.30, 7.31, 7.40 en 7.50 van NetWeaver AS Java, specifiek in de LM Configuration Wizard. Netweaver wordt gebruikt om de meeste applicaties van SAP te draaien. In de meeste gevallen is die software niet van buitenaf bereikbaar, maar bij gebruik van sommige applicaties, zoals de Enterprise Portal, is het lek van een afstand uit te buiten.

Door de kwetsbaarheid is het mogelijk voor een ongeauthenticeerde aanvaller om commando's uit te voeren met admin-privileges. Daarbij kunnen ook andere 'high-privileged'-gebruikers worden aangemaakt, die zo verdere toegang tot het systeem kunnen krijgen.

Op dit moment zijn nog geen technische details over de kwetsbaarheid bekend. De bug heeft code CVE-2020-6287 meegekregen en SAP heeft er inmiddels een patch voor vrijgegeven. Het bedrijf raadt bedrijven sterk aan die te implementeren. De bug krijgt een CVSS-score van 10/10.

Niet alleen SAP waarschuwt voor de ernst van het lek. Ook het Nederlandse Nationaal Cyber Security Center zegt tegen bedrijven dat ze het lek zo snel mogelijk moeten dichten. Het Digital Trust Center en de Amerikaanse CISA hebben eveneens waarschuwingen uitgedeeld. Meer details over de kwetsbaarheid worden woensdag bekend. De beveiligingsinstituten hebben op dit moment nog geen signalen dat de kwetsbaarheid wordt uitgebuit, maar verwachten die wel als die informatie naar buiten komt.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 14-07-2020 15:1818

14-07-2020 • 15:18

18 Linkedin Whatsapp

Lees meer

Digital Trust Center wil niet-vitale bedrijven met pilot securityadvies geven
Digital Trust Center wil niet-vitale bedrijven met pilot securityadvies geven Nieuws van 19 augustus 2021
Onderzoeksraad voor Veiligheid begint onderzoek naar Citrix-kwetsbaarheid
Onderzoeksraad voor Veiligheid begint onderzoek naar Citrix-kwetsbaarheid Nieuws van 2 juli 2020
Nederland loopt nog steeds veel kans op digitale ontwrichting
Nederland loopt nog steeds veel kans op digitale ontwrichting Nieuws van 29 juni 2020
Cyber Security Raad: overheid moet industriële controlesystemen beter beveiligen
Cyber Security Raad: overheid moet industriële controlesystemen beter beveiligen Nieuws van 29 april 2020
Minister wil dezelfde veiligheidseisen voor alle vitale infrastructuur
Minister wil dezelfde veiligheidseisen voor alle vitale infrastructuur Nieuws van 23 maart 2020
NCTV: kans op maatschappelijke ontwrichting door afhankelijkheid technologie
NCTV: kans op maatschappelijke ontwrichting door afhankelijkheid technologie Nieuws van 12 juni 2019
Meer producten en artikelen
Beveiliging en antivirus Java Sap

Reacties (18)

-Moderatie-faq
18
18
13
2
1
2
Wijzig sortering
Orangelights23
14 juli 2020 15:27
SAP NetWeaver AS Java 7.3 tot en met 7.5 wordt vaak gebruikt door de volgende SAP software:
SAP Enterprise Resource Planning;
SAP Product Lifecycle Management;
SAP Customer Relationship Management;
SAP Supply Chain Management;
SAP Supplier Relationship Management;
SAP NetWeaver Business Warehouse;
SAP Business Intelligence;
SAP NetWeaver Mobile Infrastructure;
SAP Enterprise Portal;
SAP Process Orchestration/Process Integration);
SAP Solution Manager;
SAP NetWeaver Development Infrastructure;
SAP Central Process Scheduling;
SAP NetWeaver Composition Environment;
SAP Landscape Manager.

NCSC - overigens snel geacteerd, waarvoor waarvan akte - adviseert om de patch van SAP zelf of door je leverancier zo snel mogelijk te bestuderen, beoordelen en indien mogelijk direct uit te voeren.

[Reactie gewijzigd door Orangelights23 op 14 juli 2020 16:20]

Kaastosti
@Orangelights2314 juli 2020 15:46
Already working on it :) Inderdaad snel opgepakt!

Kans dat het misbruikt wordt (voor publieke bekendmaking) is klein, maar de impact is nogal groot :|
MrRobot
@Kaastosti14 juli 2020 15:47
Een patch wordt over het algemeen vrij snel uitgeplozen. Dan is het lek boven tafel en kan de exploit gemaakt worden. Advies is om binnen 24 na deze berichtgeving te hebben gepatched, met name voor aan het internet ontsloten systemen.

[Reactie gewijzigd door MrRobot op 14 juli 2020 17:09]

iWishmaster
@Orangelights2314 juli 2020 22:39
Het artikel hier is wel enigszins misleidend. SAP NetWeaver wordt weliswaar voor bijna alle SAP systemen gebruikt, maar slechts een handvol gebruiken de AS Java stack. Meest noemenswaardige is Process Orchestration, de integratie (ESB) oplossing, welke wel door veel bedrijven gebruikt wordt. De LM Configuration Wizard wordt alleen gebruikt bij installatie of eenmalige configuratie, dus die heb ik vanmiddag even snel uitgevinkt op onze systemen (op advies van SAP als quick fix).
rbr320
@Orangelights2314 juli 2020 16:15
Je bedoelt waarschijnlijk "waarvoor hulde", met andere woorden "goed gedaan"?
De uitdrukking "waarvan akte" betekent zo ongeveer "en zo gebeurde het".
FirePig
14 juli 2020 15:50
Is er een mogelijkheid om in te schrijven voor nieuwsbrieven die vulnerabilities als dit doorgeven? Zowel SAP als andere libraries, frameworks, etc.
GertMenkel
@FirePig14 juli 2020 16:08
Je kunt deze in iedere RSS lezer / chatbot gooien: NCSC beveiligingsadviezen

Verder is het niet onhandig deze eens in de tijd door te kijken voor als je feed er een gemist heeft: https://advisories.ncsc.nl/advisories
Kaastosti
@FirePig14 juli 2020 15:53
De partners zullen toch eerst op de hoogte worden gesteld, dus als je echt vooraan wilt zitten moet je (in dit geval) SAP partner zijn. Eén grote mailing list waar je alle vulnerabilities binnen krijgt lijkt me ook niet heel praktisch... die loopt altijd achter bij de bron.
FirePig
@Kaastosti14 juli 2020 16:10
Mijn bedoeling was dus ook om dan topics te selecteren die je wilt ontvangen, al dan niet met prioriteiten: eenmaal per week gebundeld een update, onmiddellijk,...
Orangelights23
@FirePig14 juli 2020 16:43
Zoek maar eens op een Misp node, daar kan je abonneren op events zoals deze en zelf configureren.
FirePig
@Orangelights2314 juli 2020 16:49
Bedankt!

Voor de luie Tweakers: https://www.misp-project.org/feeds/
thof1
@FirePig14 juli 2020 16:02
NCSC heeft een RSS feed waar je eventueel op kan subscriben. Deze gebruiken wij in onze DevOps teams ook om te monitoren of er issues ontdekt worden die direct actie nodig hebben.
itsme
14 juli 2020 19:40
Meeste netweaver producten draaien ABAB, niet Java. Java draait er dan meestal naast in de vorm van een sap netweaver portal. Ik zou dan ook zeker niet stellen dat deze stack voor vrijwel alle sap software wordt gebruikt.
Heroic_Nonsense
@itsme14 juli 2020 21:00
Je ziet steeds meer maatwerk door niet-ABAP-ers in allerlei talen ertegenaangeplakt worden. Dan is zo’n NetWeaver JAVA portal een mooie springplank.

Persoonlijk heb ik liever UI5 met MCF.

[Reactie gewijzigd door Heroic_Nonsense op 14 juli 2020 21:04]

GoT.Typhoon
14 juli 2020 19:04
SAP is zo uit de tijd, echt niet te zuinig. Elk bedrijf wat ik ken, zit altijd te struggelen met SAP.
Wobblier
@GoT.Typhoon14 juli 2020 20:11
Tja SAP. Vooral legacy is problematisch volgens mij.

Aan de andere kant. Duitsland heeft de eerste Corona app door SAP en Deutsche Telekom laten ontwikkelen. Koste een sloot met geld, maar zij hebben een app.
iWishmaster
@GoT.Typhoon14 juli 2020 22:51
Ieder bedrijf wat ik ken zit te worstelen met hun ERP systeem ... Of er nu SAP, Microsof, Oracle, JD Edwards etc op het merk kaartje staat, het zijn allemaal grote bedrijven en dat brengt een mate van logheid mee. Daarnaast zijn het ook de grote bedrijven die SAP draaien, waarbij de nodige bureaucratie aanwezig is. Dat heb ik uit eigen hand herhaaldelijk ervaren.

Momenteel werk ik als SAP Developer en architect in een jong en flexibel bedrijf met een pragmatische instelling. Hier gaat ook niet alles perfect, maar er wordt wel het bewijs geleverd dat je met de juiste instelling ook gewoon soepel en Agile kunt werken met SAP. De logge en oubollige reputatie van SAP komt ook deels door logge en oubollige bedrijven.
this
@GoT.Typhoon15 juli 2020 08:45
Bestaat er dan een andere manier? Ik werk nu al een tijdje in die wereld en het is gewoon onmogelijk om in grote bedrijven een perfect systeem te hebben. Of het nu van SAP is of een concurrent daarvan, of zelfs custom (in grote bedrijven zou ik dit toch echt liever niet hebben), de problemen zijn gemeenschappelijk. Daarnaast gaat het erg hard met nieuwe technologieën bij SAP. Niet elk bedrijf loopt snel mee natuurlijk, want vernieuwen kost gewoon gigantisch veel geld.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee