SAP NetWeaver zawiera krytyczną podatność deserialization w module RMI-P4, umożliwiającą nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń systemowych. Podatność otrzymała maksymalny wynik CVSS 10.0, co czyni ją ekstremalnie niebezpieczną dla każdej organizacji korzystającej z SAP NetWeaver.
▸ Pokaż oryginał (EN)
Due to a deserialization vulnerability in SAP NetWeaver, an unauthenticated attacker could exploit the system through the RMI-P4 module by submitting malicious payload to an open port. The deserialization of such untrusted Java objects could lead to arbitrary OS command execution, posing a high impact to the application's confidentiality, integrity, and availability.
Atakujący wysyła złośliwy payload zawierający niezaufane obiekty Java do otwartego portu obsługiwanego przez moduł RMI-P4 w SAP NetWeaver. Serwer deserializuje przesłane dane bez wcześniejszego uwierzytelnienia użytkownika, co pozwala na wykonanie osadzonego kodu. W wyniku deserializacji niezaufanych obiektów Java możliwe jest osiągnięcie pełnego wykonania poleceń na poziomie systemu operacyjnego (arbitrary OS command execution). Atak nie wymaga żadnych uprawnień ani interakcji ze strony użytkownika, a jego zakres wykracza poza samą aplikację (S:C w wektorze CVSS).
Atakujący może uzyskać pełną kontrolę nad systemem operacyjnym serwera — odczytywać, modyfikować i niszczyć dane oraz zakłócać dostępność usług, co oznacza całkowite naruszenie poufności, integralności i dostępności systemu SAP NetWeaver.
Należy niezwłocznie zastosować patche dostępne u producenta zgodnie z referencjami SAP Security Notes 3634501, 3660659 oraz 3670067 (dostępne pod adresem me.sap.com). Dodatkowo zaleca się ograniczenie dostępu sieciowego do portów RMI-P4 wyłącznie do zaufanych hostów poprzez firewall oraz monitorowanie ruchu sieciowego na tych portach do czasu wdrożenia łatek.
SAP NetWeaver z aktywnym modułem RMI-P4 z dostępnym portem sieciowym; konkretne wersje produktu wskazane w referencjach producenta (SAP Security Notes: 3634501, 3660659, 3670067)
Podatność opublikowana w ramach SAP Security Patch Day (https://url.sap/sapsecuritypatchday). Wektor CVSS wskazuje na pełny zakres naruszenia (Scope:Changed) — skutki mogą wykraczać poza bezpośrednio atakowany komponent SAP NetWeaver.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H