ช่องโหว่ “RECON” ใน SAP NetWeaver ทำให้ผู้โจมตีสามารถสร้างบัญชีผู้ดูแลระบบบนเซิร์ฟเวอร์ SAP

SAP เปิดตัวแพตช์แก้ไขช่องโหว่รหัส CVE-2020-6287 เป็นช่องโหว่ RECON (ย่อมาจาก Remotely Exploitable Code On NetWeaver) ที่เกิดขึ้นใน SAP NetWeaver JAVA ซึ่งเป็นส่วนประกอบสำคัญของโซลูชั่น SAP หลายรายการ

Onapsis ผู้เชี่ยวชาญด้าน Security และผู้ค้นพบช่องโหว่กล่าวว่า ช่องโหว่นี้หากผู้โจมตีสามารถโจมตีได้สำเร็จ ผู้โจมตีสามารถเข้าถึงระบบโดยไม่ผ่านการยืนยันตัวตน สามารถสร้าง User ใหม่และสามารถควบคุมแอพพลิเคชัน SAP ได้ด้วยสิทธิ์สูงสุด ผู้เชี่ยวชาญ Onapsis ประเมินว่าจำนวนลูกค้าที่ใช้ SAP NetWeaver ได้รับผลกระทบอย่างน้อย 40,000 ราย โดยเป็นจำนวนโดยประมาณที่ยังไม่ได้รับการยืนยันจากทาง SAP อย่างเป็นทางการ โดยช่องโหว่ RECON เป็นหนึ่งในช่องโหว่ที่มีความรุนแรงระดับวิกฤติที่ได้รับการจัดอันดับคะแนนสูงสุด 10/10 ของช่องโหว่ CVSSv3

SAP ให้คำแนะนำว่าผู้ใช้ควรอัปเดตแพทซ์แก้ไขช่องโหว่นี้โดยเร็วที่สุด สามารถดูข้อมูลการอัปเดตแพทซ์เพิ่มเติมได้ที่ wiki.scn.sap

ที่มา: