SAP patch une faille critique dans son logiciel de production

0

Le géant des logiciels d’entreprise SAP a déployé des correctifs pour une vulnérabilité de gravité critique dans son logiciel de surveillance des données en temps réel pour les opérations de fabrication. Si elle est exploitée, la faille pourrait permettre à un attaquant d’accéder aux bases de données de SAP, d’infecter les utilisateurs finaux avec des logiciels malveillants et de modifier les configurations de réseau.

Le correctif de faille critique faisait partie d’un ensemble de 18 correctifs de sécurité publiés par SAP pour adresser de nouvelles vulnérabilités et mettant à jour les correctifs précédemment publiés.

Les deux correctifs les plus critiques, qui ont été récemment déployés dans le cadre de la mise à jour de sécurité, incluaient la vulnérabilité dans l’application d’intégration et d’intelligence de fabrication (MII) de SAP pour synchroniser les opérations de fabrication, ainsi qu’une autre faille dans NetWeaver AS Java .

« Avec 18 nouvelles mises à jour, le patch du mois de Mars est légèrement en dessous de la quantité habituelle de correctifs déployés dans les deux premiers mois de l’année 2021, ont déclaré les chercheurs d’Onapsis dans une analyse. « Avec SAP MII, SAP NetWeaver AS Java et SAP HANA, trois applications différentes sont cette fois affectées par des vulnérabilités critiques (HotNews et High Priority). »

Faille de sécurité de SAP MII: Exécution de code à distance

La faille de sécurité de SAP MII (CVE-2021-21480) est une vulnérabilité d’injection de code, dans laquelle le code est inséré dans le langage d’une application ciblée et exécuté par l’interpréteur côté serveur. La faille a un score CVSS de 9,9 sur 10. Les versions 15.1, 15.2, 15.3 et 15.4 sont affectées.

SAP MII est une plate-forme NetWeaver AS Java, qui permet un suivi en temps réel de la production et de l’analyse des données pour un aperçu de l’efficacité des performances.

ase sap

La faille provient d’un composant de SAP MII appelé Self-Service Composition Environment (SSCE), qui est utilisé pour concevoir des tableaux de bord pour l’analyse des données en temps réel. Ces tableaux de bord peuvent être enregistrés sous forme de fichier Java Server Pages (JSP). Toutefois, un attaquant peut intercepter à distance une requête JSP envoyé vers le serveur, l’injecter avec du code malveillant, puis la transmettre au serveur.

« Lorsqu’un tel tableau de bord infecté est ouvert en production par un utilisateur ayant un minimum d’autorisations, le contenu malveillant est exécuté, conduisant à l’exécution de code à distance dans le serveur », ont déclaré les chercheurs d’Onapsis.

Cela pourrait conduire à diverses attaques malveillantes, y compris l’accès aux bases de données et la possibilité de lire, modifier ou effacer des données sensibles; se tourner vers d’autres serveurs; infecter les utilisateurs finaux avec des logiciels malveillants et modifier les configurations réseau pour potentiellement affecter les réseaux internes.

Les chercheurs recommandent fortement d’appliquer le patch correspondant dès que possible.

« Le patch empêchera les tableaux de bord d’être enregistrés sous forme de fichiers JSP », ont déclaré les chercheurs d’Onapsis. ” Malheureusement, il n’existe plus de solution flexible. Si des fichiers JSP sont nécessaires, les clients doivent restreindre autant que possible l’accès au SSCE et valider manuellement tout contenu JSP avant de le mettre en production.”

Faille du Netweaver AS Java de SAP

Une autre faille grave se trouve dans SAP NetWeaver AS Java, versions 7.10, 7.11, 7.30, 7.31, 7.40 et 7.50. Plus précisément, le volet MigrationService est affecté car il manque de vérifications d’autorisation.

Cette faille (CVE-2021-21481) a un score de 9,6/10 sur l’échelle CVSS, ce qui signifie que la vulnérabilité est de gravité critique.

SAP NetWeaver AS Java est généralement utilisé en interne pour les applications de migration entre les versions majeures pour le moteur AS Java.

« Le manque de vérification d’autorisation pourrait permettre à un individu non autorisé d’obtenir des privilèges administratifs », ont déclaré les chercheurs. « Cela pourrait entraîner un compromis complet de la confidentialité, de l’intégrité et de la disponibilité du système. »

Autres failles de sécurité sérieuses de SAP

En plus de ces deux failles graves, SAP a également corrigé un contournement d’authentification (CVE-2021-21484) dans SAP HANA (Version 2.0). Ils ont également mis à jour deux patchs de sécurité précédents – incluant un contrôle d’authentification manquant dans SAP Solution Manager (datant de Mars 2020) et une mise à jour de sécurité pour Google Chrome (datant d’Avril 2018). SAP n’a pas donné plus de détails sur ces 2 mises à jour de sécurité.

Ces correctifs surviennent après la mise à jour de sécurité de SAP en Février qui patchait une vulnérabilité critique dans sa plate-forme de commerce pour les entreprises de commerce électronique. Si elle est exploitée, la faille pourrait permettre l’exécution de code à distance qui, en fin de compte, pourrait compromettre ou perturber l’application.

Ces correctifs apparaissent également au cours d’une semaine chargé en ce qui concerne les patchs. Les mises à jour régulières Patch Tuesday de Microsoft pour le mois de Mars ont adressé 89 failles de sécurité dans l’ensemble, y compris 14 failles critiques et 75 failles de gravité importante.

Les mises à jour de sécurité d’Adobe, qui s’attaquent à un ensemble de failles critiques, qui, si elles sont exploitées, pourraient permettre l’exécution de code arbitraire sur les systèmes Windows vulnérables, ont également été déployées le même jour.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.