L'éditeur allemand SAP, en partenariat avec le prestataire de services de cybersécurité et de conformité Onapsis, a mis en garde ses clients contre des attaques actives qui cherchent à cibler, identifier et compromettre les entreprises utilisant des applications SAP vulnérables. Un rapport conjoint publié le 6 avril par les deux entreprises donne des détails sur les menaces et les failles associées.
SAP et Onapsis conseillent vivement aux entreprises de prendre des mesures immédiates et mettre à jour leurs systèmes. Selon le rapport, au moins six vulnérabilités importantes sont en cours d’exploitation. Ces dernières portent les références CVE-2020-6287 (également connue sous le nom de RECON), CVE-2020-6207, CVE-2018-2380, CVE-2016-9563, CVE-2016-3976 et CVE-2010-5326. SAP a déjà livré des correctifs pour ces brèches.
Des combinaisons de failles
Cependant, selon SAP et Onapsis, des failles sont combinées pour avoir un effet latéral sur d'autres systèmes ou cibles. Concernant cette relation, les partenaires font la distinction entre quatre groupes. Le premier concerne les brèches facilitant un accès au niveau des applications. Elles permettent une compromission initiale de l'application cible, et fournissent un compte utilisateur sur le système. Trois failles entrent dans cette catégorie : CVE-2020-6287, CVE-2016-3976, ainsi que des attaques par force brute sur des utilisateurs disposant de privilèges élevés dans l'application SAP.
Le second groupe, qui comprend les CVE-2018-2380 et CVE-2016-9563, rend possible l'escalade des privilèges de l'application vers le système d'exploitation. En les exploitant, un attaquant peut parvenir à exécuter des commandes système sans restriction à partir d’un utilisateur existant ayant un accès au niveau de l'application, ce qui permet une escalade de privilèges sur le système cible.
Le troisième groupe donne lui un accès direct à l'OS. En exploitant ces faiblesses, des attaquants peuvent ainsi exécuter sans restriction des commandes directes au niveau du système d'exploitation dans l'application SAP cible. La CVE-2020-5326 fait partie de cette catégorie. Le quatrième groupe, qui comprend les CVE-2016-3976 et CVE-2020-6207, accorde une compromission inter-systèmes. En exploitant ces failles, un attaquant peut effectuer un mouvement latéral dans l’environnement et compromettre des systèmes au-delà du système initialement exploité.
Un rappel à l'ordre sur les mises à jour des systèmes SAP vulnérables
SAP et Onapsis ont travaillé en étroite collaboration avec le CISA du département américain de la sécurité intérieure (DHS) et l’Office fédéral allemand de la sécurité des technologies de l’information (BSI). Ils conseillent aux entreprises de prendre des mesures immédiates pour appliquer des correctifs SAP spécifiques et des configurations sécurisées, et d'effectuer des évaluations de compromission sur les environnements critiques. « Les vulnérabilités critiques observées et activement exploitées ont été rapidement corrigées par SAP et sont disponibles pour les clients depuis des mois, voire des années dans certains cas », a déclaré Mariano Nunez, le CEO d'Onapsis, dans un billet de blog.
« Malheureusement, SAP et Onapsis ont pu constater que de nombreuses entreprises n’avaient toujours pas appliqué les mesures d'atténuation appropriées, permettant aux systèmes SAP non protégés de continuer à fonctionner et, trop souvent, d’être toujours à la portée des attaquants via Internet », a-t-il ajouté. « Les entreprises qui n'ont pas pris de mesures urgentes pour atténuer rapidement ces risques connus doivent considérer que leurs systèmes sont compromis et prendre des mesures immédiates et appropriées », a-t-il insisté.
Selon M. Nunez, les vulnérabilités critiques de SAP sont exploitées moins de 72 heures après la publication d'un correctif, et les récentes applications SAP non protégées installées dans des environnements cloud sont découvertes et compromises en moins de trois heures. « Au-delà des implications pour les clients SAP individuels, des attaques orchestrées et réussies sur des applications SAP non protégées pourraient avoir des conséquences de grande envergure : plus de 400 000 entreprises utilisent SAP dans le monde, dont 92 % sont classées au Global Fortune 2000 », a-t-il déclaré.