Breaking News: Kritische Sicherheitslücke auf Ihren SAP AS Java Systemen!

Auf fast allen SAP AS Java Systemen wurde eine kritische Sicherheitslücke entdeckt. Sie ermöglicht es dem Angreifer, auf die Daten der SAP Datenbank zuzugreifen sowie mit dem OS Benutzer <SID>adm und oder SapService<SID> Betriebssystemkommandos auszuführen.

  #SAP   #SAP Cloud   #SAP Basis Betrieb   #SAP as a Service  

Die von der Sicherheitslücke betroffene Komponente ist der SAP Lifecycle Manager LMCTC. SAP hat für diese Komponente einen Patch bereitgestellt, welche die Sicherheitslücke schliesst. Dieser ist im Hinweis 2934135 zu finden. Ausserdem besteht die Möglichkeit die Komponente LMCTC - sofern sie nicht benutzt wird - zu deaktivieren. Das ist jedoch nur ein Workaround.

 

Exploits bereits im Darknet! 

Unsere Spezialisten vom Security Intelligence haben herausgefunden, dass die entsprechenden Exploits bereits im Darknet zum Verkauf angeboten werden. Somit ist klar, dass die Lücke eine reale Bedrohung darstellt.

 

Kontaktieren Sie uns bei Fragen 

Die SAP Spezialisten von UMB haben sich bereits an die Arbeit gemacht und unterstützen die Kunden rasch bei der Behebung dieser Lücke und der Absicherung von SAP Systemen.  

Kontaktieren Sie den Autor Deny Hagen bei Fragen rund um SAP.

 

Weitere Informationen unter: 

SAP Patch https://launchpad.support.sap.com/#/notes/2934135 (Benötigt einen S-User)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6287
https://us-cert.cisa.gov/ncas/alerts/aa20-195a