Une faille de SAP permet de prendre le contrôle d’un système

Une vulnérabilité critique a été révélée aux clients de SAP. Cette faille de sécurité a un score de 10 sur 10 sur l’échelle CvSS.

La collection de logiciels de planification des ressources d’entreprise (ERP) déployée à grande échelle par SAP est utilisée pour gérer leurs finances, leur logistique, leurs organisations orientées client, leurs ressources humaines et d’autres domaines d’activité. Ces systèmes contiennent donc de nombreuses informations sensibles.

Selon une alerte du Département de la sécurité intérieure des Etats-Unis, une exploitation réussie de la faille ouvre la porte aux attaquants pour lire et modifier les dossiers financiers, modifier les coordonnées bancaires, lire des informations personnelles identifiables (PII), faire des achats, saboter ou perturber les opérations, réaliser l’exécution de commandes sur le système d’exploitation et supprimer ou modifier les traces, les logs et autres fichiers.

sap

La faille (CVE-2020-6287) a été nommé RECON par les chercheurs d’Onapsis Research Labs qui l’ont découverte, et elle affecte plus de 40 000 clients, ont-ils noté. SAP a déployé un correctif pour le problème dans le cadre de son bulletin de sécurité du mois de Juillet 2020.

«Cela signifie Remotely Exploitable Code On NetWeaver (code exploitable à distance sur NetWeaver)», a déclaré Mariano Nunez, PDG d’Onapsis. “Cette vulnérabilité réside dans les versions 7.30 à 7.50 de NetWeaver Application Server Java (la dernière version en date [lors de la publication de l’analyse]. Tous les packages de support testés à ce jour étaient vulnérables. NetWeaver Application Server Java est la base de plusieurs produits et solutions SAP.”

Selon l’entreprise, un attaquant exploitant cette vulnérabilité aura un accès illimité aux informations et processus commerciaux critiques dans une variété de scénarios différents.

NetWeaver Java

Selon Onapsis, la faille affecte un composant par défaut présent dans chaque application utilisant la technologie NetWeaver Application Server Java. Ce composant technique est utilisé dans de nombreuses solutions commerciales SAP, telles que SAP S/4HANA, SAP SCM, SAP CRM, SAP CRM, SAP Enterprise Portal, SAP Solution Manager (SolMan) et bien d’autres, ont déclaré les chercheurs.

ase sap

La vulnérabilité est causée par le manque d’authentification dans un composant Web de NetWeaver Application Server Java de, permettant plusieurs activités hautement privilégiées sur le système. Un attaquant distant non authentifié peut exploiter cette vulnérabilité via une interface HTTP, qui est généralement exposée aux utilisateurs finaux et, dans de nombreux cas, exposée à Internet.

«Si l’exploit est réussi, un attaquant distant non authentifié peut obtenir un accès illimité aux systèmes SAP grâce à la création d’utilisateurs hautement privilégiés et à l’exécution de commandes arbitraires sur le système d’exploitation avec les privilèges du compte d’utilisateur du service SAP ( adm), qui dispose d’un accès illimité à la base de données et est en mesure d’effectuer des activités de maintenance des applications, telles que l’arrêt des applications », selon l’alerte de sécurité.

Impact de cette faille de SAP

Autrement dit, un attaquant non authentifié pourrait créer un nouvel utilisateur SAP avec des privilèges maximaux, contournant tous les contrôles d’accès et d’autorisation (tels que la séparation des tâches, la gestion des identités et de la gouvernance, les solutions de risque et de conformité) et gagner le contrôle total des systèmes.

“NetWeaver Application Server Java de SAP étant une couche de base fondamentale pour plusieurs produits SAP, l’impact spécifique varierait en fonction du système affecté”, selon Onapsis, dans une analyse technique. «En particulier, il existe différentes solutions SAP fonctionnant au-dessus de NetWeaver Java qui partagent une particularité commune: elles sont hyper-connectées via des API et des interfaces. En d’autres termes, ces applications sont attachées à d’autres systèmes, internes et externes, tirant généralement parti de relations de confiance hautement privilégiées. »

Et bien que cela soit déjà assez grave, le risque de la vulnérabilité RECON augmente lorsque les solutions concernées sont exposées à Internet, pour connecter les entreprises avec des partenaires commerciaux, des employés et des clients. Ces systèmes – Onapsis estime qu’il y en a au moins 2500 – ont une probabilité accrue d’attaques à distance, selon les chercheurs. Parmi ces installations vulnérables, 33% se trouvent en Amérique du Nord, 29% en Europe et 27% en Asie-Pacifique.

«En raison du type d’accès illimité qu’un attaquant obtiendrait en exploitant des systèmes non patchés, cette vulnérabilité pourrait également constituer une lacune dans les contrôles informatiques d’une entreprise pour la réglementation, ce qui pourrait avoir un impact sur la conformité financière (Sarbanes-Oxley) et la confidentialité (RGPD)».

Patch disponible

Les correctifs de SAP doivent être appliqués immédiatement, ont recommandé les chercheurs. Bien que rien n’indique pour l’instant que la faille ait été exploité, Nunez a déclaré que les clients SAP devraient être en état d’alerte élevé maintenant que la vulnérabilité a été annoncée et que le Département de la Sécurité Intérieur des Etats-Unis a envoyé son alerte US CERT.

“Maintenant que la vulnérabilité et le correctif ont été publiés, les pirates informatiques qualifiés peuvent rapidement développer du code d’exploitation”, a-t-il déclaré. «Comme il existe de nombreux systèmes SAP exposés à Internet et vulnérables, la complexité de l’attaque est nettement moindre.»

Cela dit, en raison de la complexité des applications critiques et des fenêtres de maintenance limitées, les organisations sont souvent mises au défi d’appliquer rapidement des mises à jour de sécurité SAP, a reconnu l’équipe d’Onapsis.

«Il est difficile de patcher des applications stratégiques telles que celles de SAP car elles doivent être disponibles en permanence», a expliqué Nunez. «Les tests peuvent prendre beaucoup de temps en fonction de la complexité et de la personnalisation des applications. De plus, les fenêtres de maintenance sont limitées pour appliquer les correctifs. »

Il a ajouté: «Pour les clients SAP, des vulnérabilités critiques telles que RECON mettent en évidence la nécessité de protéger les applications critiques, en étendant les programmes de cybersécurité et de conformité existants pour garantir que ces applications ne soient plus dans un angle mort. Ces systèmes sont un élément vital de l’entreprise et soumis à des exigences de conformité strictes, il n’y a donc rien de plus important à sécuriser.»

Si cet article vous a plu, jetez un œil à notre article précédent.