RECON बग हैकर्स को SAP सर्वर पर एडमिन अकाउंट बनाने की सुविधा देता है

बिजनेस दिग्गज एसएपी ने आज एक बड़ी भेद्यता के लिए एक पैच जारी किया जो उसके अधिकांश ग्राहकों को प्रभावित करता है। बग, कोडनेम टोहक्लाउड सुरक्षा फर्म ओनाप्सिस के अनुसार, कंपनियों को आसान हैक का सामना करना पड़ता है, जिसने इस साल की शुरुआत में मई में भेद्यता की खोज की थी और इसे पैच करने के लिए एसएपी को इसकी सूचना दी थी।

ओनैप्सिस का कहना है कि RECON दुर्भावनापूर्ण खतरे वाले अभिनेताओं को SAP पर अधिकतम विशेषाधिकारों के साथ एक SAP उपयोगकर्ता खाता बनाने की अनुमति देता है इंटरनेट पर प्रदर्शित एप्लिकेशन, हमलावरों को हैक की गई कंपनियों के SAP संसाधनों पर पूर्ण नियंत्रण प्रदान करते हैं।

बग कई प्रमुख SAP ऐप्स को प्रभावित करता है

भेद्यता का फायदा उठाना आसान है और यह SAP चलाने वाले प्रत्येक SAP एप्लिकेशन में शामिल एक डिफ़ॉल्ट घटक में रहता है नेटवीवर जावा प्रौद्योगिकी स्टैक - अर्थात् एसएपी नेटवीवर एप्लिकेशन सर्वर के एलएम कॉन्फ़िगरेशन विज़ार्ड घटक भाग में (जैसा)।

घटक का उपयोग SAP के कुछ सबसे लोकप्रिय उत्पादों में किया जाता है, जिनमें SAP S/4HANA, SAP SCM, SAP CRM, SAP CRM, SAP एंटरप्राइज पोर्टल और SAP सॉल्यूशन मैनेजर (सोलमैन) शामिल हैं।

SAP NetWeaver Java प्रौद्योगिकी स्टैक पर चलने वाले अन्य SAP अनुप्रयोग भी प्रभावित होते हैं। ओनैप्सिस का अनुमान है कि प्रभावित कंपनियों की संख्या लगभग 40,000 एसएपी ग्राहक हैं; हालाँकि, उनमें से सभी सीधे इंटरनेट पर असुरक्षित एप्लिकेशन को उजागर नहीं करते हैं।

ओनाप्सिस का कहना है कि उनके द्वारा किए गए स्कैन में लगभग 2,500 एसएपी सिस्टम का पता चला जो सीधे इंटरनेट के संपर्क में थे जो वर्तमान में RECON बग की चपेट में हैं।

एक "गंभीरता 10" बग

इस पैच को लगाने की तत्काल आवश्यकता आवश्यक है। ओनाप्सिस ने कहा कि RECON बग उन दुर्लभ कमजोरियों में से एक है जिसे CVSSv3 भेद्यता गंभीरता पैमाने पर 10 में से अधिकतम 10 रेटिंग प्राप्त हुई है।

10 स्कोर का मतलब है कि बग का फायदा उठाना आसान है, क्योंकि इसमें तकनीकी ज्ञान शामिल नहीं है; इंटरनेट पर दूरस्थ हमलों के लिए स्वचालित किया जा सकता है; और इसके लिए हमलावर के पास पहले से ही SAP ऐप पर खाता या वैध क्रेडेंशियल होना आवश्यक नहीं है।

संयोगवश, यह पिछले कुछ हफ्तों में सामने आया तीसरा प्रमुख सीवीएसएस 10/10 बग है। इसी तरह के महत्वपूर्ण बग का भी खुलासा किया गया था पैन-ओएस (पालो अल्टो नेटवर्क फ़ायरवॉल और वीपीएन उपकरणों के लिए ऑपरेटिंग सिस्टम) और अंदर F5 का बिग-आईपी ट्रैफ़िक आकार देने वाला सर्वर (आज सबसे लोकप्रिय नेटवर्किंग उपकरणों में से एक)।

इसके अलावा, यह उद्यम क्षेत्र के लिए भी एक कठिन दौर रहा है, जिसमें समान रूप से खराब कमजोरियों का खुलासा किया गया है आकाशवाणी, साईट्रिक्स, और जुनिपर उपकरण; सभी बग उच्च गंभीरता रेटिंग वाले हैं, और उनका शोषण करना आसान है।

इनमें से कई कमजोरियाँ पहले ही निशाने पर आ चुकी हैं और हैकर्स द्वारा उनका फायदा उठाया जा रहा है, जैसे PAN-OS, F5 और Citrix बग।

एसएपी सिस्टम के प्रशासकों को सलाह दी जाती है कि वे जितनी जल्दी हो सके एसएपी के पैच लागू करें, क्योंकि ओनैप्सिस ने चेतावनी दी थी कि बग हैकर्स किसी कंपनी के SAP एप्लिकेशन पर पूरा नियंत्रण ले लेते हैं और फिर आंतरिक से मालिकाना तकनीक और उपयोगकर्ता डेटा चुरा लेते हैं सिस्टम.

SAP पैच सूचीबद्ध और उपलब्ध होंगे कंपनी का सुरक्षा पोर्टल अगले कुछ घंटों में.

होमलैंड सिक्योरिटी विभाग की साइबर सुरक्षा और बुनियादी ढांचा सुरक्षा एजेंसी (डीएचएस सीआईएसए) ने भी जारी किया है एक सुरक्षा चेतावनी आज कंपनियों से जल्द से जल्द पैच तैनात करने का आग्रह किया गया।

RECON को CVE-2020-6287 के रूप में भी ट्रैक किया गया है।