CVE-2020-6287:阻防DDoS碍SAP的10分漏洞-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > CVE-2020-6287:阻防DDoS碍SAP的10分漏洞

CVE-2020-6287:阻防DDoS碍SAP的10分漏洞

小墨安全管家 2020-07-15 12:22 CC防护 89 ℃
DDoS防御

由于该漏洞,SAP应用上的数据和进程的机密性、完整性和可用性都处在极大的风险中。

思量到RECON漏洞的严峻性,研究人员建议企业尽快安装补丁,并扫描SAP系统来防止其他的漏洞阻碍。

漏洞阻碍大多数SAP 应用

攻击者利用该漏洞能够创建含有最大权限的新的SAP用户,入侵者可疑黑掉SAP安装来执行任意命令,比如修改或提取机密信息、破坏关键商业进程。具体来看,非认证的攻击者成功利用该漏洞能够经过创建高权限的用户或以SAP服务用户账户权限执行任意系统命令来猎取对SAP系统的访咨询。SAP服务用户账户对SAP 数据库有无限的访咨询权限,能够执行应用维护活动、比如关闭联机SAP应用。

尽管目前还没有发觉该漏洞的在野利用,但CISA警告称,补丁使得攻击者能够特别容易地逆向漏洞来创建漏洞利用,并攻击未修复的系统。

在野利用和补丁

CVSS评分10的漏洞

由于该漏洞组件用于大多数SAP的产品中,包括SAP S/4HANA、SAP SCM、SAP CRM、SAP CRM、SAP Enterprise Portal和 SAP Solution Manager (SolMan)。其他运行SAP NetWeaver Java技术栈的SAP 应用也受到该漏洞的阻碍。Onapsis扫描发觉了大约2500个直截了当暴露在互联网的SAP 系统,这些系统也受到RECON 漏洞的阻碍。

CVE-2020-6287:阻防DDoS碍SAP的10分漏洞

Onapsis近日发觉了阻碍SAP NetWeaver Application Server (AS) Java平台LM Configuration Wizard 组件的高危漏洞——RECON。漏洞CVE编号为CVE-2020-6287,CVSSv3 评分为10分,漏洞阻碍超过4万SAP用户。攻击者利用改漏洞能够彻底操纵SAP 应用。

由于缺乏对SAP NetWeaver AS Web组件的认证,能够授权攻击者在可疑的SAP系统上执行高权限活动。远程、非认证的攻击者可疑经过HTTP接口利用该漏洞,而HTTP端口普通是暴露到终端用户和互联网的。

Onapsis分析称RECON是特别少见的CVSS评分为10的漏洞。10分漏洞意味着特别容易就能够利用,攻击者无需拥有SAP APP的账户或凭证。


DDoS防御

当前位置:主页 > CC防护 > CVE-2020-6287:阻防DDoS碍SAP的10分漏洞

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119