El error, CVE-2020-6287 aka RECON, es una falta de autenticación adecuada en NetWeaver. Esto permite a los usuarios no autorizados crear nuevas cuentas de administración a través de HTTP, concediendo a los malhechores un acceso completo: está clasificado 10 de 10 en términos de gravedad. El vulnerable componente de Java se utiliza en gran parte de la línea de productos de SAP, por lo que sería una buena idea comprobar las actualizaciones de cualquier código SAP que se ejecute en su red. Una explotación exitosa de RECON podría dar a un atacante no autenticado acceso completo al sistema SAP afectado. Esto incluye la capacidad de modificar registros financieros, robar información de identificación personal (PII) de empleados, clientes y proveedores, corromper datos, eliminar o modificar registros

• Error en SAP Netweaver: Cualquiera puede hacerse una cuenta de administrador.

SAP NetWeaver es una plataforma de tecnología integrada para todas las aplicaciones SAP en el plano técnico. Es conocida como una aplicación orientada a servicios y a la integración. Provee al usuario de un vínculo entre lenguajes y aplicaciones. Es conocida como una aplicación orientada a servicios y a la integración. Provee al usuario de un vínculo entre lenguajes y aplicaciones. Está construido usando estándares abiertos de la industria por lo que es sencillo negociar transacciones de información con desarrollos de Microsoft .NET, Sun Java EE, e IBM WebSphere.

SAP, la conocida empresa de software de gestión empresarial, acaba de publicar un parche que soluciona varios errores en SAP NetWeaver AS JAVA en su componente web. Las mayor de las vulnerabilidades afecta al asistente de configuración (‘LM Configuration Wizard’), permitiendo la creación de usuarios con privilegios sin la necesidad de estar autenticado.

RECON: Remotely Exploitable Code On NetWeaver

Debido a sus características, la vulnerabilidad identificada como CVE-2020-6287 y bautizada como RECON ha recibido la mayor puntuación CVSS, siendo ésta de 10 sobre 10 (la más grave) . Aunque no hay evidencias de su explotación, los clientes de SAP que utilizan este componente (más de 40.000 empresas) deben actualizar lo antes posible.



La vulnerabilidad se encuentra presente en las versiones 7.30, 7.31, 7.40 y 7.50 de SAP NetWeaver AS JAVA, y según puede leerse en la publicación lanzada por CISA habría más de 15 productos de SAP afectados. Se recomienda igualmente actualizar utilizando el parche en vez de buscar posibles formas de mitigar el problema.


SAP ha puesto a disposición de sus clientes una nota con información adicional sobre este parche, el cual soluciona esta y otras vulnerabilidades.


Una explotación exitosa de RECON podría dar a un atacante no autenticado acceso completo al sistema SAP afectado. Esto incluye la capacidad de modificar registros financieros, robar información de identificación personal (PII) de empleados, clientes y proveedores, corromper datos, eliminar o modificar registros y trazas y otras acciones que ponen en riesgo operaciones comerciales esenciales, ciberseguridad y cumplimiento normativo.

La vulnerabilidad RECON afecta a un componente predeterminado presente en cada aplicación SAP que ejecuta la pila de tecnología Java SAP NetWeaver. Este componente técnico se utiliza en muchas soluciones comerciales de SAP, incluidas SAP SCM, SAP CRM, SAP PI, SAP Enterprise Portal y SAP Solution Manager (SolMan), que afectan a más de 40,000 clientes de SAP.

El error en NetWeaver AS JAVA (Asistente de configuración LM) de SAP permite que un usario remoto no autenticado se haga cargo de un sistema vulnerable basado en NetWeaver creando cuentas de administrador sin ningún tipo de autorización.

Onapsis calculó que hay al menos 2.500 instalaciones de SAP potencialmente vulnerables expuestas en línea, con un 33% en América del Norte, un 29% en Europa y un 27% en Asia-Pacífico. La casa de seguridad también cree que el error podría poner a las empresas en riesgo de multas de cumplimiento del gobierno, dependiendo de los datos que se compartan.


La advertencia fue respaldada por US-CERT, que instó a los administradores a actualizar su software lo antes posible.

• https://us-cert.cisa.gov/ncas/alerts/aa20-195a

"Debido a la importancia crítica de esta vulnerabilidad, la superficie de ataque que representa esta vulnerabilidad y la importancia de las aplicaciones comerciales de SAP, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) recomienda encarecidamente a las organizaciones que apliquen parches de inmediato", dijo el organismo estadounidense de seguridad informática.

• SAP Enterprise Resource Planning
• SAP Product Lifecycle Management
• SAP Customer Relationship Management
• SAP Supply Chain Management
• SAP Supplier Relationship Management
• SAP NetWeaver Business Warehouse
• SAP Business Intelligence
• SAP NetWeaver Mobile Infrastructure
• SAP Enterprise Portal
• SAP Process Orchestration/Process Integration)
• SAP Solution Manager
• SAP NetWeaver Development Infrastructure
• SAP Central Process Scheduling
• SAP NetWeaver Composition Environment
• SAP Landscape Manager.

Onapsis dijo que informó la falla a SAP el 27 de mayo. El error fue confirmado ese mismo día y, el 8 de junio, se emitió un puntaje CVSS de 10. La falla se mantuvo en secreto hasta el 14 de julio, cuando SAP pudo sacar un parche (nota de soporte 2934135) como parte de su ciclo de actualización de seguridad mensual programado


Fuentes:
https://unaaldia.hispasec.com/2020/07/vulnerabilidad-critica-en-sap-netweaver-permite-secuestrar-los-servidores-sin-autenticacion.html
https://www.theregister.com/2020/07/14/sap_recon_bug/
https://www.onapsis.com/recon-sap-cyber-security-vulnerability