Systèmes SAP : moins exposés que d’autres, mais visés également
Les systèmes SAP moins perçus comme confrontés au risque de cyberattaques que d’autres, voués à être exposés directement sur Internet. Mais les attaquants s’y intéressent malgré tout. Une menace non négligeable.
Onapsis et SAP viennent de rendre public un nouveau rapport de renseignement sur les menaces visant justement les déploiements d’ERP SAP. Et celui-ci pourrait bien contribuer à éveiller les esprits sur une menace bien moins prégnante que les ransomwares, mais pas plus négligeable, compte tenu de la criticité des systèmes concernés, notamment.
Car les chercheurs à l’origine du rapport indiquent avoir observé « plus de 300 tentatives d’exploitations réussies [de vulnérabilités ou des défauts de configuration] sur des instances SAP non protégées », entre la mi-2020 et début avril 2021. Six vulnérabilités ressortent en particulier : les CVE-2010-5326, CVE-2018-2380, CVE-2016-3976, CVE-2016-9563, CVE-2020-6287, et CVE-2020-6207. Des exploits sont publiquement disponibles, et utilisés notamment pour découvrir, puis attaquer, des déploiements accessibles ouvertement par Internet.
Les auteurs expliquent par exemple que la CVE-2018-2380 est utilisée pour déposer des web shell sur des instances SAP, qui leur permettent d’accéder confortablement à l’ensemble des ressources de l’application compromise.
Les experts d’Onapsis soulignent en outre la rapidité avec laquelle une nouvelle vulnérabilité critique devient concrètement dangereuse. Ainsi, le correctif de la vulnérabilité CVE-2020-6287 a été mis à disposition par SAP le 14 juillet 2020. Vingt-quatre heures plus tard, un démonstrateur d’exploitation était disponible, pour identifier les systèmes affectés. Au bout de 48h, les balayages à la recherche de tels systèmes étaient déjà en cours. Et 72h après la présentation du correctif, le premier exploit complet était rendu public.
Plus loin, selon leurs observations, les auteurs indiquent qu’il faut compter entre un peu plus de trois heures et 2,1 jours avant qu’une nouvelle instance SAP déployée dans un IaaS ne soit balayée pour la première fois à la recherche de vulnérabilités. Pour l’exploitation, la période de répit peut s’élever à près de 19 jours.
Juan Pablo Perez Etchegoyen, directeur technique d’Onapsis, indiquait, lors d’un entretien début 2016, que « chez chacun de nos nouveaux clients, nous découvrons des systèmes SAP qui ne sont pas correctement administrés et tendent à être exposés, du fait de vulnérabilités non corrigées, ou encore de défauts de configuration ». Pourquoi ? Parce que les progiciels de gestion servent souvent de support à des processus critiques ; les mises à niveau ou les applications de correctifs ne surviennent que de manière extrêmement planifiée, souvent à des intervalles trop espacés pour garantir une remédiation rapide.
Et c’est toute l’ironie de l’histoire. Car les assaillants ne s’encombrent pas de telles précautions. À tel point, expliquent les auteurs du rapport, « que l’on a observé des acteurs avancés corriger les vulnérabilités SAP qu’ils avaient exploitées ». Pour eux, « cette action illustre la connaissance avancée des applications SAP des attaquants ».