SAP alerte sur l’exploitation d’anciennes vulnérabilités sur ses produits

Spread the love
SAP alerte sur l'exploitation d'anciennes vulnérabilités sur ses produits

Des chercheurs ont averti que des vulnérabilités critiques dans des applications SAP sont largement exploitées par des cyberattaquants.

Mardi, SAP et Onapsis ont conjointement publié un rapport sur ces activités, indiquant que des failles de sécurité avec des scores de gravité CVSS allant jusqu’à 10, le plus élevé possible, sont utilisées par les attaquants.

publicité

Les applications SAP sont utilisées par environ 400 000 entreprises dans le monde. Bien que SAP n’ait pas connaissance de violations directes liées à ses clients en raison de ces activités, le fournisseur et Onapsis affirment qu’au moins 1 500 tentatives d’attaques liées aux applications SAP ont été identifiées entre juin 2020 et mars 2021, et qu’au moins 300 ont réussi.

Le rapport indique que les progiciels de gestion intégrés, les logiciels de gestion de la relation client et les systèmes de chaîne d’approvisionnement, entre autres, sont visés.

SAP publie des correctifs de sécurité pour ses produits sur une base mensuelle, aux côtés d’organisations telles que Microsoft et Adobe.

Cependant, le rapport indique que les bugs critiques exploités ne sont pas corrigés par les clients et que, dans certains cas, les applications SAP vulnérables et exposées sur Internet sont truffées de bugs qui n’ont pas été corrigés pendant des mois, voire des années.

Six vulnérabilités, en particulier, sont mentionnées dans le rapport comme étant activement exploitées :

CVE-2020-6287: CVSS : 10

Également connu sous le nom de RECON, ce bug exploitable à distance dans SAP NetWeaver/Java est dû à l’échec d’une vérification d’authentification. Aucun privilège n’est requis et, une fois exploitée, cette vulnérabilité permet la création de comptes administrateurs et la compromission complète du système.

Un correctif a été publié le 14 juillet 2020, mais Onapsis indique que les attaques utilisant ce bug se poursuivent aujourd’hui.

CVE-2020-6207: CVSS 10

Affectant la version 7.2 de SAP Solution Manager (SolMan), cette faille critique permet aux attaquants d’obtenir un contrôle complet sur le hub de la configuration SAP d’une organisation.

Un code de preuve de concept (PoC) a été publié pour cette faille de sécurité à la suite d’un correctif publié par SAP le 10 mars 2020. Les tentatives d’exploitation ont “augmenté de manière significative” depuis la publication du code d’exploitation PoC fonctionnel.

CVE-2018-2380: CVSS 6.6

Cette ancienne vulnérabilité affecte la solution CRM basée sur SAP NetWeaver du fournisseur et peut être déclenchée pour effectuer une élévation de privilèges et exécuter des commandes, permettant éventuellement un mouvement latéral à travers un réseau d’entreprise. Un correctif a été publié le 1er mars 2018.

CVE-2016-9563: CVSS 6.4

Corrigée en août 2016, cette vulnérabilité touche un composant de SAP NetWeaver/JAVA version 7.5, conduisant à des attaques authentifiées à distance — mais à faible privilège –.

CVE-2016-3976: CVSS 7.5

Également présente dans SAP NetWeaver/JAVA, cette faille de sécurité, corrigée en mars 2016, permet à des attaquants distants de lire des fichiers arbitraires via des séquences de traversée de répertoire, conduisant à des fuites d’informations et potentiellement à une élévation de privilèges s’ils sont en mesure d’accéder aux bonnes ressources.

CVE-2010-5326: CVSS 10

Une vulnérabilité critique causée par un échec d’authentification dans la servlet Invoker au sein des plateformes SAP NetWeaver Application Server/JAVA. La faille de sécurité permet aux attaquants de prendre le contrôle total des processus métier SAP. En 2016, le département américain de la sécurité intérieure (DHS) a publié une alerte sur l’exploitation active de ce bug, qui se poursuit à ce jour.

En outre, le rapport indique que la fenêtre pour l’application des correctifs est “considérablement plus petite que ce que l’on pensait auparavant”, certaines vulnérabilités SAP sont utilisées par les attaquants en moins de 72 heures après leur divulgation.

“L’exploitation observée pourrait conduire dans de nombreux cas à une compromission totale de l’application SAP non sécurisée, en contournant les contrôles de sécurité et de conformité courants, et en permettant aux attaquants de voler des informations sensibles, de réaliser des fraudes financières ou de perturber les processus métier critiques en déployant des ransomwares ou en bloquant les opérations”, indiquent les entreprises. “Ces menaces peuvent également avoir des répercussions sur la conformité réglementaire pour les organisations qui n’ont pas correctement sécurisé leurs applications SAP traitant des données réglementées.”

Source : “ZDNet.com”

Leave a Reply