A l’occasion de la Black Hat Europe qui s’est tenue à Londres du 9 au 12 décembre, Yvan Genuer, chercheur principal en sécurité chez Onapsis (éditeur de sécurité des ERP), a dévoilé les résultats d’une enquête basée sur quatre années de données de renseignement sur les menaces. Elle montre qu’à partir de 2020, jusqu'à la fin de l'année 2023, les pirates ont manifesté un intérêt persistant pour les systèmes ERP de SAP. La grande majorité (87 %) des entreprises figurant sur la liste Forbes Global 2000 utilisent SAP.

L’étude à réaliser Onapsis et Flashpoint, un partenaire de recherche sur les menaces, ont analysé les activités sur les forums criminels, les incidents, les sites de chat et les sites de groupes de ransomware. Divers groupes, dont des groupes cybercriminels (FIN13 « Elephant Beetle », le groupe cybercriminel russe FIN7 et Cobalt Spider), des équipes de cyber-espionnage (APT10 en Chine) et des 'script kiddies', ces pirates néophytes sans compétences informatiques, mais très néfastes, s'attaquent tous activement aux vulnérabilités liées à SAP. Les vastes quantités de données détenues par les systèmes basés sur la firme allemande en font une cible pour les groupes de cyber-espionnage. D’autant que l'énorme volume de transactions attire fortement les cybercriminels avides d’argent.

Les exploits SAP, vendus par des groupes criminels

Sur les forums, les vulnérabilités CVE-2020-6287 (Recon) et CVE-2020-6207 (défaut d’authentification dans SAP Solution Manager) ont alimenté de nombreuses discussions sur la meilleure façon d'exploiter les systèmes SAP. Onapsis a cité un exemple dans lequel un prétendu exploit ciblant SAP Secure Storage a été mis en vente à 25 000 dollars en août 2020. Des acheteurs ont proposé de payer 50 000 dollars pour l'exécution de code à distance avant authentification de NetWeaver ou pour des exploits de contournement d'authentification en septembre 2020. Des messages ultérieurs proposaient jusqu'à 250 000 dollars pour des exploits fonctionnels contre les systèmes SAP.

Selon Onapsis, entre 2021 et 2023, les discussions sur les services cloud et web spécifiques à SAP ont augmenté de 220 % sur les forums de cybercriminels. Ces forums sont utilisés pour discuter de détails sur la manière d'exploiter les failles SAP, mais aussi pour échanger des conseils et des astuces sur la monétisation des compromissions SAP et sur la façon d'exécuter des attaques contre des victimes potentielles. Parallèlement, depuis 2021, le nombre d'incidents liés à des ransomwares impliquant des systèmes SAP a été multiplié par cinq (400 %). Les vulnérabilités SAP non corrigées sont également exploitées et utilisées dans les campagnes de ransomware. Selon Onapsis, les exploits critiques publics datent de quatre ans et perdent donc de leur efficacité, si bien que les acteurs de la menace recherchent des armes « fraîches ». Les brèches divulguées publiquement dans les applications SAP, comme CVE-2021-38163 et CVE-2022-22536, entre autres, sont aussi ciblées.

Les pirates en quête de vulnérabilités résolues, mais non corrigées

De nombreuses attaques exploitent des vulnérabilités connues, mais non corrigées dans les systèmes SAP. Selon Onapsis, la demande de failles SAP non corrigées de la part de divers groupes ne fait que croître, car elles représentent un retour sur investissement potentiellement énorme. « SAP n'est plus une boîte noire, et il faut désormais considérer les applications SAP comme des cibles », a averti Yvan Genuer d'Onapsis, ajoutant que les systèmes exposés à Internet n'étaient pas les seuls à être piratés.

Selon l’éditeur en sécurité, la complexité des systèmes SAP et leur intégration dans des processus d'entreprise plus larges posent des défis uniques en matière de protection. Les entreprises doivent donner la priorité à la gestion régulière des correctifs, à l'évaluation des vulnérabilités et à l'adoption de pratiques avancées de renseignement sur les menaces avant d’avoir une longueur d’avance sur les menaces potentielles.

Des tiers ont la même analyse

Des experts tiers indépendants sont d’accord avec les conclusions d'Onapsis et reconnaissent que les systèmes basés sur SAP intéressent de plus en plus les attaquants. « Les systèmes SAP sont des cibles de choix pour les attaquants en raison de leur rôle essentiel dans la gestion des opérations des grandes entreprises et du stockage de données sensibles comme les transactions financières, la propriété intellectuelle et les informations personnelles », a déclaré Chris Morgan, analyste principal du renseignement sur les cybermenaces chez ReliaQuest. « Le développement d'un exploit capable de déchiffrer le stockage sécurisé et de faciliter le mouvement latéral au sein des systèmes SAP indique un niveau élevé d'expertise technique et d'effort, ce qui justifie un prix élevé. »

Par exemple, sur un forum cybercriminel de premier plan, ReliaQuest a découvert un exploit ciblant les systèmes SAP proposé pour près de 25 000 dollars (payables en bitcoins) et initialement listé en août 2020. L'exploit est censé faciliter les mouvements latéraux au sein des systèmes ciblés. « Le message prétend que l'exploit peut utiliser SAP Secure Storage pour découvrir des identifiants, élever les privilèges et finalement compromettre d'autres systèmes SAP au-delà de la cible initiale », a rapporté ReliaQuest. Secure Storage est essentiel pour la gestion des données sensibles et des informations d'identification dans un environnement SAP, ce qui rend tout exploit visant les systèmes SAP extrêmement précieux pour quiconque cherche à obtenir un accès non autorisé ou à élever ses privilèges.