Les utilisateurs SAP devraient déployer immédiatement un correctif de sécurité corrigeant une vulnérabilité critique permettant à des cyberpirates de compromettre leurs systèmes et les données qu'ils contiennent. Cette faille concerne un composant principal existant par défaut dans la plupart des déploiements SAP et peut être exploitée à distance sans utiliser de nom d'utilisateur et de mot de passe. D'après les chercheurs en sécurité d'Onapsis qui ont trouvé et fait état de cette vulnérabilité, près de 40 000 clients SAP dans le monde pourraient être concernés. Plus de 2 500 systèmes SAP sont directement exposés sur Internet et ont, de plus, une grande chance d'être piratés, mais les attaquants parvenant à accéder à des réseaux locaux peuvent également compromettre d'autres déploiements.
Identifiée sous la référence CVE-2020-6287, cette faille se situe dans NetWeaver Application Server Java de SAP, la pile logicielle sur laquelle reposent la plupart des applications d'entreprise SAP. Les versions allant de la 7.30 à la 7.50 de Netweaver Java sont affectées, incluant la toute dernière, ainsi que tous les packages de support (SP) distribués par l'éditeur allemand. Egalement appelée RECON (remotely exploitable code on netweaver), cette faille a le niveau de sévérité CVSS le plus élevé à savoir 10 parce qu'elle peut être exploitée via HTTP sans authentification et peut déboucher sur une compromission complète du système. La vulnérabilité permet aux attaquants de créer un nouvel utilisateur avec rôle d'administrateur pour contourner les contrôle d'accès existants et les séparations de tâches.
Un vaste panel de leviers d'attaques
« Disposer d'un accès administrateur au système va permettre à un attaquant de gérer (lire, modifier et/ou effacer) chaque enregistrement de base de donnée ou de fichiers dans le système », prévient Onapsis dans une note. « En raison d'un type d'accès sans restriction, un attaquant peut l'obtenir en exploitant des systèmes non corrigés, et cette vulnérabilité peut aussi constituer une déficience au niveau des contrôles IT d'une entreprise à des fins de contraintes de régulation et impacter potentiellement la conformité financière (Sarbanes-Oxley) et données personnelles (RGPD) ».
La CVE-2020-6287 expose les organisations à différents types d'attaques. Les cyberpirates peuvent l'utiliser pour voler des informations d'identification personnelles (PII) appartenant à des employés, clients et fournisseurs, lire, modifier ou effacer des enregistrements financiers, changer des informations bancaires pour détourner des paiements et modifier des processus d'achats. Mais également corrompre des données, perturber le fonctionnement des systèmes financiers enregistrant les pertes issues des interruptions d'activité et permettre à des attaquants de cacher leurs traces en effaçant des logs et en exécutant des commandes sur le système d'exploitation avec des privilèges applications SAP.
Les systèmes tiers connectés à SAP en danger
Les applications SAP concernées par cette faille incluent S/4HANA Java, Enterprise Resource Planning (ERP), Supply Chain Management (SCM), CRM (Java Stack), Enterprise Portal, HR Portal, Solution Manager (SolMan) 7.2, Landscape Management (SAP LaMa), Process Integration/Orchestration (SAP PI/PO), Supplier Relationship Management (SRM), NetWeaver Mobile Infrastructure (MI), NetWeaver Development Infrastructure (NWDI) et NetWeaver Composition Environment (CE).
Les systèmes SAP sont généralement interconnectés avec d'autres solutions tiers pour échanger des données et automatiser les tâches en utilisant des API. Sachant que le processus d'intégration/orchestration (PI/PO) de SAP joue à ce titre un rôle clé dans ces intégrations, sa compromission pourrait permettre aussi à des pirates d'accéder à des identifiants d'autres systèmes non SAP aussi bien que d'autres bases de données. Le portail d'entreprise SAP (Enterprise Portal) constitue une cible singulière pour les pirates car il est souvent exposé sur Internet sous la forme de portails self-services pour employés ou scénarios B2B pour fournisseurs et partenaires métiers. Et héberge également un volume de données métiers significatif a indiqué le CEO d'Onapsis, Mariano Nunez, à notre confrère CSO. SAP Solution Manager, reposant sur NetWeaver Java, est touché et aussi un composant clé pour tous les déploiements SAP pouvant constituer une cible intéressante pour des attaquants pouvant effectuer des mouvements latéraux dans d'autres applications.
De la rétro-ingénierie de correctif à prévoir
Onapsis a prévenu SAP de la vulnérabilité en mai, ce qui a permis à ce dernier de développer un correctif, annoncé dans son dernier bulletin de sécurité, et accessible à ses clients via son portail support. Le CISA (agence américaine en cybersécurité et sécurité de l'infrastructure) et le Cert-Bund (centre de réponse aux incidents de sécurité allemand), ont également été notifié et ont préparé des alertes. D'après Mariano Nunez, appliquer le correctif dès que possible est la meilleure solution. Détecter une attaque potentielle avec des pare-feux web applicatif sans prise en compte du contexte applicatif peut déboucher sur des faux positifs car il est difficile de différencier des tentatives d'exploit du trafic légitime.
« Le CISA recommande fortement aux organisations de lire les bulletins de sécurité de juillet 2020 de SAP pour plus d'information et d'appliquer les correctifs critiques dès que possible en priorisant les patchs en commençant par les systèmes de mission critique, exposés à l'Internet et aux serveurs réseaux », a indiqué l'organisme. « Les organisations devraient prioriser l'application des patchs sur d'autres actifs IT/OT et accorder une attention particulière au bulletin de sécurité SAP 2934135 ». Selon Mariano Nunez, il ne sera pas difficile pour des attaquants de faire de la retro-ingénierie de correctif et déterminer où la vulnérabilité existe et comment l'exploiter. Ce dernier ne s'attend pas à ce que cela leur prenne du temps pour armer la faille, il est donc critique que les organisations comprennent l'impact généralisé que cette vulnérabilité pourrait avoir sur leur entreprise si elle n'était pas corrigée.
Commentaire