SAP a livré cette semaine ses derniers bulletins mensuels de sécurité, au nombre de 16, auxquels s’ajoutent 13 mises à jour de notes précédemment publiées. Commentant cette livraison d'août dans un billet, le fournisseur de solutions de sécurité Onapsis met l’accent sur les risques d’attaques en déni de service, notant qu’en dehors de cela, cette série de bulletins estivale n’est pas particulièrement critique. « Les attaques DoS sont destinées à rendre une ou plusieurs ressources inaccessibles », rappelle-t-il en expliquant que, dans le cas de SAP, elles pourraient affecter uniquement un programme ou une base de données spécifique, ou bien mettre hors ligne l’ensemble de l’infrastructure.
Spécialisé dans les environnements SAP et Oracle, Onapsis communique régulièrement sur les vulnérabilités qui affectent les produits de ces deux éditeurs. Début août, il a signalé qu’il observait une « expansion continue des risques » pour ces installations. Il a récemment publié des rapports sur les failles dans les configurations HANA et TREX de SAP. HANA est la base de données en mémoire de l’éditeur et TREX un moteur de recherche fonctionnant sur les informations structurées et non structurées. L’une des vulnérabilités détectées permet par exemple « de lancer à distance une attaque par force brute pour usurper des privilèges de comptes élevés ».
Le clickjaking amène à cliquer sur un bouton caché sur une page web
En juillet, SAP avait déjà identifié des failles permettant des attaques DoS contre sa solution d’administration Solution Manager et contre sa base de données Sybase. Dans un rapport publié le mois dernier, Onapsis signale aussi des risques « d’un genre nouveau ». Les effets des failles sont souvent sous-estimés, note dans un communiqué, Sebastian Bortnik, responsable de la recherche de la société. Il décrit une faille générant d’abord un message d’erreur et qui, « ce faisant, transmet aux hackers des informations sensibles sur l’environnement informatique touché, l’utilisateur ou les données gérées sur l’ordinateur visé ». Autre type d’attaque, le détournement de clic (clickjacking) est récemment apparu dans l’environnement SAP. Il conduit les visiteurs d’un site web (clients ou partenaires de l’entreprise) « à cliquer sur des liens ou des boutons cachés et non sur les options de menu qu’ils pensent activer », pointe Onapsis en expliquant que les clics déclenchent à la place d’autres actions sur leur ordinateur.
En juillet, le fournisseur de solutions de sécurité a également réalisé des rapports sur la livraison de correctifs périodique fournie par Oracle (Critical Patch Update Advisory-July 2016), celle-ci ne regroupant pas moins de 276 patches. Certains logiciels d’Oracle sont notamment vulnérables à des attaques de type cross-site scripting qui permettent des détournements de sites web.
Commentaire