Plusieurs failles à haut risque affectent les plateformes in-memory HANA de SAP, vient d’alerter Onapsis, fournisseur de solutions de sécurité spécialisé dans la détection de vulnérabilités dans les environnements de l’éditeur allemand. En cas d’exploitation, elles permettraient à des attaquants de prendre le contrôle complet de la plateforme à distance, sans devoir recourir à des identifiants. « Ce niveau d’accès permettrait (…) d’engager n’importe quelle action sur les données de gestion et les processus supportés par HANA, en incluant la création, le vol, la modification ou la suppression d’informations sensibles », avertit Sebastian Bortnik, responsable de la recherche chez Onapsis, en soulignant que cela pourrait entraîner de graves conséquences commerciales pour l’entreprise. Cela concerne HANA 2, S/4 HANA et les applications basées sur HANA dans le cloud. SAP a livré un correctif dans sa mise à jour de sécurité du mois de mars.
Plus précisément, la faille affecte la composante HANA User Self Service qui n’est pas mise en œuvre par défaut. L’alerte donnée par Onapsis permettra aux entreprises de vérifier si elles utilisent actuellement cet élément qui pourrait les exposer au risque signalé. Même si ce n’est pas le cas, il leur est recommandé d’appliquer les mises à jour en prévision d’un éventuel changement qui pourrait être effectué par la suite sur le système.
Un risque présent depuis 2 ans et demi
Les vulnérabilités ont été identifiées au départ sur la mise à jour HANA 2 de la plateforme. Mais, après vérification, il s’est avéré que plusieurs versions antérieures étaient également vulnérables. Il semble en fait que ces failles existent depuis presque deux ans et demi sur HANA, depuis le moment où le composant User Self Service a été livré. Cela augmente la probabilité que des attaquants aient pu la découvrir. Travaillant étroitement avec SAP, Onapsis lui a immédiatement signalé les risques découverts pour que l’éditeur puisse intervenir rapidement, ce que ce dernier a fait en livrant le correctif.
A la suite d’un autre rapport de sécurité d’Onapsis, SAP avait par ailleurs livré son premier correctif pour HANA 2 pour combler cette fois une faille qu’un attaquant pouvait exploiter pour s’accorder des élévations de privilèges.