SAP a divulgué un éventail de correctifs pour ses logiciels dont un critique qui concerne son offre Manufacturing Integration and Intelligence (xMII) ciblant les industriels du secteur de la production. Très répandu parmi ce type d'entreprises, ce logiciel contenait une vulnérabilité permettant à des attaquants distants d'accéder à des répertoires et des fichiers, incluant du code source, à des fichiers de configuration et système et à d'autres informations techniques critiques, ont indiqué des chercheurs en sécurité d'ERPScan.
Bien que cette vulnérabilité ne permette pas à des attaquants de semer la pagaille directement dans les outils de production, elle pourrait être exploitée par un utilisateur malintentionné pour accéder à des systèmes plus critiques. « Les vulnérabilités affectant SAP xMII peuvent être utilisées comme un point de départ à des attaques diffuses dont l'objectif est de prendre le contrôle de terminaux et de systèmes de production », a expliqué dans un blog Alexander Polyakov, CTO d'ERPScan.
Le correctif pour xMII fait parti d'une salve de 23 patchs fournis par SAP concernant d'autres produits de l'éditeur allemand en particulier SAP NetWeaver J2EE applications security.
Commentaire