ทาง SAP ได้ออกแพทช์อุดช่องโหว่ร้ายแรงในส่วนของ LM Configuration Wizard ใน NetWeaver Application Server (AS) ซึ่งเป็นแพลตฟอร์มจาวา ช่องโหว่นี้เปิดให้ผู้โจมตีเข้ามาควบคุมแอพพลิเคชั่น SAP ได้โดยไม่ต้องยืนยันตัวตน
บั๊กรายการนี้ถูกเรียกชื่อว่า RECON อยู่ภายใต้รหัส CVE-2020-6287 ถูกจัดคะแนนความร้ายแรงตามเกณฑ์ของ CVSS ถึง 10 เต็ม 10 ซึ่งมีโอกาสที่จะกระทบกับลูกค้า SAP จำนวนมากถึง 40,000 รายเลยทีเดียว
ช่องโหว่นี้ถูกค้นพบโดยบริษัทด้านความปลอดภัยทางไซเบอร์ Onapsis ถ้าผู้โจมตีใช้ประโยชน์จากช่องโหว่นี้ได้แล้ว ก็จะสามารถเข้าถึงระบบ SAP เป้าหมายได้อย่างเต็มที่จากระยะไกล โดยไม่ต้องผ่านกระบวนการยืนยันตัวตน
โดยเป็นการสร้างบัญชีผู้ใช้ที่มีสิทธิ์ระดับสูงขึ้นมา พร้อมทั้งสามารถรันคำสั่งบนระบบปฏิบัติการด้วยสิทธิ์ผู้ใช้บริการ SAP ที่สามารถเข้าถึงฐานข้อมูลได้อย่างไร้ขีดจำกัด พร้อมทั้งดำเนินการเกี่ยวกับระบบอย่างเช่นการสั่งปิดแอพพลิเคชั่น SAP ได้ด้วย
ที่มา : THN
