Plusieurs failles à haut risque affectent les plateformes in-memory HANA de SAP, vient d’alerter Onapsis, fournisseur de solutions de sécurité spécialisé dans la détection de vulnérabilités dans les environnements de l’éditeur allemand. En cas d’exploitation, elles permettraient à des attaquants de prendre le contrôle complet de la plateforme à distance, sans devoir recourir à des identifiants. « Ce niveau d’accès permettrait (…) d’engager n’importe quelle action sur les données de gestion et les processus supportés par HANA, en incluant la création, le vol, la modification ou la suppression d’informations sensibles », avertit Sebastian Bortnik, responsable de la recherche chez Onapsis, en soulignant que cela pourrait entraîner de graves conséquences commerciales pour l’entreprise. Cela concerne HANA 2, S/4 HANA et les applications basées sur HANA dans le cloud. SAP a livré un correctif dans sa mise à jour de sécurité du mois de mars.
Plus précisément, la faille affecte la composante HANA User Self Service qui n’est pas mise en œuvre par défaut. L’alerte donnée par Onapsis permettra aux entreprises de vérifier si elles utilisent actuellement cet élément qui pourrait les exposer au risque signalé. Même si ce n’est pas le cas, il leur est recommandé d’appliquer les mises à jour en prévision d’un éventuel changement qui pourrait être effectué par la suite sur le système.
Un risque présent depuis 2 ans et demi
Les vulnérabilités ont été identifiées au départ sur la mise à jour HANA 2 de la plateforme. Mais, après vérification, il s’est avéré que plusieurs versions antérieures étaient également vulnérables. Il semble en fait que ces failles existent depuis presque deux ans et demi sur HANA, depuis le moment où le composant User Self Service a été livré. Cela augmente la probabilité que des attaquants aient pu la découvrir. Travaillant étroitement avec SAP, Onapsis lui a immédiatement signalé les risques découverts pour que l’éditeur puisse intervenir rapidement, ce que ce dernier a fait en livrant le correctif.
A la suite d’un autre rapport de sécurité d’Onapsis, SAP avait par ailleurs livré son premier correctif pour HANA 2 pour combler cette fois une faille qu’un attaquant pouvait exploiter pour s’accorder des élévations de privilèges.
Les failles de vulnérabilité sont une chose, et on peut comprendre que lors du développement de systèmes complexes il puisse y avoir des omissions mais l'installation de la base de données en est une autre et SAP devrait former et sensibiliser ses installateurs. Pour notre part l'installateur de notre système ne semble pas avoir été sensible à la sécurité. Nous avons trouvé des failles comme, par exemple, l'attribution d'un mot de passe extrêmement léger "passw0rd" (ou le "O" est un zéro !) permettant l'accès à la base avec comme utilisateur le nom par défaut que donne SAP (SYSTEM), autant dire une porte grande ouverte pour tous les systèmes que cet intégrateur a installés.
Signaler un abusSur une de nos machines ils ont laissé leurs login et mot de passe de leur boîte e-mail, que ce serait-il passé si nous avions été malhonnête ?
De gros progrès restent donc à faire, à SAP, dans ce domaine.