NCSC ønsker å varsle om en kritisk sårbarhet i SAP NetWeaver Application
Server (AS) Java som har fått CVE-nummer CVE-2020-6287 [1].

Sårbarheten sitter i Java component LM Configuration Wizard. En
uatorisert angriper kan utnytte denne via HTTP for å kontrollere
legitime SAP-applikasjoner, uten at vedkommende trenger å være
tilkoblet det lokale nettverket [2]. Dette kan gi tilgang til sensitiv
informasjon og mulighet for å sabotere virksomhetskritiske prosesser.

Sårbarheten er tilstede i SAP-applikasjoner som kjører på SAP NetWeaver
AS Java 7.3 og senere versjoner opp til SAP NetWeaver 7.5. Flere av disse
er koblet på internett og kan derfor bli berørt av denne sårbarheten.
Potensielle berørte systemer er blant annet:

    SAP Enterprise Resource Planning,
    SAP Product Lifecycle Management,
    SAP Customer Relationship Management,
    SAP Supply Chain Management,
    SAP Supplier Relationship Management,
    SAP NetWeaver Business Warehouse,
    SAP Business Intelligence,
    SAP NetWeaver Mobile Infrastructure,
    SAP Enterprise Portal,
    SAP Process Orchestration/Process Integration),
    SAP Solution Manager,
    SAP NetWeaver Development Infrastructure,
    SAP Central Process Scheduling,
    SAP NetWeaver Composition Environment, and
    SAP Landscape Manager.

NCSC er ikke kjent med aktiv utnyttelse av sårbarheten, men anbefaler
likevel virksomheter å oppdatere så snart dette lar seg gjøre. Dette
gjelder også for applikasjoner som ikke er eksponert mot internett.
Dersom det er vanskelig å oppdatere snarlig anbefales det å deaktivere
LM Configuration Wizard service, se [3] (krever konto).

NCSC-pulsen blir beholdt på nivå to (2).

Referanser:
[1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6287%20
[2] https://us-cert.cisa.gov/ncas/alerts/aa20-195a
[3] https://launchpad.support.sap.com/#/notes/2934135