Критический недостаток позволяет хакерам легко взломать системы SAP

Недавно стало известно о критической уязвимости, позволяющей хакерам взламывать системы SAP и содержащиеся в них данные.

Уязвимость затрагивает основной компонент, который существует по умолчанию в большинстве развертываний SAP и может использоваться удаленно без использования имени пользователя и пароля.

Исследователи из охранной фирмы Onapsis, которые обнаружили и сообщили об уязвимости, оценивают, что 40000 клиентов SAP во всем мире могут быть затронуты. Более 2500 уязвимых систем SAP напрямую подключены к Интернету и подвергаются более высокому риску взлома, но злоумышленники, получившие доступ к локальным сетям, могут поставить под угрозу и другие развертывания.

Уязвимость отслеживается как CVE-2020-6287 и присутствует в Java-сервере приложений SAP NetWeaver, который является программным стеком, лежащим в основе большинства корпоративных приложений SAP. Это касается версий 7.30–7.5 для NetWeaver Java, включая последнюю, и всех пакетов поддержки (SP), выпущенных SAP.

Пользователям SAP следует немедленно развернуть недавно выпущенный патч для устранения данной уязвимости.