NetWeaver : vulnérabilité sévère, 40 000 clients SAP concernés

SAP a sorti un patch pour colmater une vulnérabilité dont la sévérité a reçu la note la plus élevée. SAP invite à l’installer ASAP. Encore plus dans un contexte où les accès à distance aux applications métiers se multiplient.

Une faille de sécurité touche des milliers de systèmes SAP avec à la clef un risque important de fuite de données critiques.

La vulnérabilité, baptisée RECON (pour Remotely Exploitable Code on NetWeaver), a été découverte par les chercheurs d’Onapsis qui collabore avec la sécurité de SAP. SAP a publié un correctif pour colmater la faille ce 13 juillet dans la Security Note 2934135.

RECON affecte plus de 40 000 clients de SAP, en particulier ceux dont les systèmes sont directement connectés à Internet, résume Mariano Nunez, PDG d’Onapsis.

La vulnérabilité touche un composant appelé CTC (Central Technical Configuration), un composant peu utilisé, mais omniprésent dans chaque application SAP qui repose sur SAP NetWeaver Java. NetWeaver Java sert de socle à de nombreuses applications SAP, qui sont souvent connectées via des API et des interfaces communes. Parmi ces applications on compte SAP SCM (Supply Chain Management), SAP CRM, SAP Enterprise Portal, SAP Process Integration ou encore SAP Solution Manager, selon Onapsis.

RECON a reçu la note de sévérité la plus élevée en raison de sa gravité et de son potentiel à affecter les systèmes et les données SAP.

Données sensibles exposées

Si la vulnérabilité est exploitée, un attaquant – sans authentification – peut créer un nouvel utilisateur SAP anonyme qui dispose des privilèges maximums et peut ainsi contourner les contrôles d’accès et d’autorisation.

« Ces attaquants pourraient être en mesure de voler des données sensibles, de modifier des données critiques ou simplement de perturber les métiers en éteignant les systèmes », avertit Mariano Nunez.

Les données à risque vont des informations personnelles sur les employés, aux données sur les clients, en passant par les dossiers financiers, les données bancaires (numéros de compte, etc.) ou les documents des processus d’achat (factures, devis, etc.). Les entreprises qui ne patcheraient pas leurs systèmes se mettraient donc en situation de violation de la réglementation financière Sarbanes-Oxley et du RGPD.

Patch disponible

Heureusement, le patch est disponible rassure Khaja Ahmed, SVP et responsable monde de la sécurité des produits et des applications chez SAP.

« Pour être tout à fait clair [la faille] existe – et elle existe depuis 10 ans », commente-t-il. « [Mais] CTC n’est pas couramment utilisé. Le fait que la vulnérabilité ait été découverte par Onapsis est donc une bonne chose ; cela nous a permis de nous y attaquer de manière proactive avant qu’il ne soit plus largement utilisé ». Ce qui est une possibilité avec la généralisation du télétravail et donc l’accès à distance aux applications de l’entreprise.

Le patch de sécurité ajoute l’authentification et une procédure d’autorisation au service web de CTC. Le correctif RECON ne nécessite pas d’arrêt ou de reconfiguration des systèmes SAP, ajoute Nunez.

Les clients SAP ont déjà reçu des alertes aussi bien sur la vulnérabilité que sur la disponibilité du patch, confirme pour sa part Tim McKnight, responsable de la sécurité chez SAP. Celui-ci invite très fortement à l’installer, dans les plus brefs délais ; une perturbation de l’accès à distance des applications pouvant avoir des répercussions encore plus importantes dans le contexte actuel. Ce point a d’ailleurs, pour Nunez, contribué à donner la note de criticité la plus élevée à RECON.

Pour approfondir sur Architectures logicielles et SOA

Close