leowolfert - stock.adobe.com
SAP : les chercheurs d’Onapsis détaillent de nouvelles menaces de sécurité
Lors de la conférence Black Hat 2023, les chercheurs d’Onapsis ont démontré comment des attaquants pourraient enchaîner une série de vulnérabilités SAP impactant le protocole P4 pour obtenir un accès aux droits administrateur (root) à un réseau cible.
Les chercheurs d’Onapsis ont révélé de nouveaux vecteurs d’attaque sur les environnements SAP qui combinent des vulnérabilités existantes pour des exploitations en chaîne potentiellement dévastatrices.
Pablo Artuso, chercheur principal en sécurité chez Onapsis, a présenté les attaques avec son collègue chercheur Yvan Geuner lors d’une session Black Hat 2023 intitulée « Enchaînés pour frapper : découvrir de nouveaux vecteurs pour obtenir un accès à distance et root dans le logiciel d’entreprise SAP ». Au cours de la session, les chercheurs ont démontré comment ils ont combiné trois attaques différentes pour obtenir un accès root dans un système SAP.
Les différentes attaques ont impliqué l’enchaînement de vulnérabilités du logiciel d’entreprise SAP, dont beaucoup ont reçu des scores CVSS élevés et critiques. Avant la conférence Black Hat, Pablo Artuso et le CTO d’Onapsis, JP Perez-Etchegoyen, ont parlé de leurs recherches avec l’équipe éditoriale de TechTarget.
Les attaques démontrées lors de la session ont combiné trois différents projets de recherche chez Onapsis. En enchaînant les projets, les chercheurs ont découvert qu’en obtenant un accès HTTP, ils pouvaient obtenir un accès root dans le système SAP sans aucune authentification requise.
Après avoir obtenu un accès HTTP à un réseau cible, qui est la première étape, les chercheurs ont exploité une vulnérabilité de SAP NetWeaver Enterprise Portal, référencée CVE-2023-28761, qui leur a donné la possibilité de lancer arbitrairement des applications sans autorisation. Cette vulnérabilité permet également à un attaquant non authentifié d’accéder éventuellement aux paramètres et données du serveur, ou de les modifier.
De là, les chercheurs d’Onapsis se sont intéressés à une partie cruciale de la chaîne d’attaque qui impliquait un protocole propriétaire de SAP appelé P4 et qui est basée sur Remote Method Invocation, une API Java. P4 est présent dans tous les serveurs d’applications SAP NetWeaver pour Java et est conçu pour faciliter les communications à distance. Point positif, les chercheurs d’Onapsis affirment que les services P4 sont rarement exposés sur internet.
D’un autre côté, le service peut causer des dommages significatifs entre de mauvaises mains. Au printemps, Onapsis a révélé une série de vulnérabilités qu’elle a nommées « P4Chains », certaines d’entre elles affectant le protocole et étant utilisées dans les nouvelles attaques en chaîne. Dans un rapport intitulé « P4Chains : analyse de l’impact des vulnérabilités affectant SAP P4 », Onapsis explique que l’obtention d’un accès au protocole peut rendre des vulnérabilités apparemment moins graves beaucoup plus dangereuses.
« Même si l’exploitation de ces problèmes est, dans la plupart des cas, limitée aux réseaux locaux, il existe des configurations et des vulnérabilités que les attaquants pourraient utiliser en combinaison avec les vulnérabilités affectant les services P4, ce qui conduit finalement à une exploitation potentielle de ces problèmes via le protocole HTTP(s), même sur internet », indique le rapport.
Après avoir exploité la vulnérabilité de NetWeaver Enterprise Portal, les chercheurs d’Onapsis ont obtenu l’accès au service P4, qui constitue la deuxième étape des attaques. Les chercheurs ont alors exploité la vulnérabilité référencée CVE-2023-23857, une vulnérabilité de type déni de service et de lecture arbitraire de fichiers système qui impacte P4 et présente un score CVSS de 9.9, ainsi que la vulnérabilité référencée CVE-2023-27497, une vulnérabilité d’exécution de code à distance dans SAP Diagnostics Agent qui présente un score CVSS de 10.
D’autres vulnérabilités exploitées lors de la deuxième phase des attaques comprennent une vulnérabilité de contrefaçon de requête côté serveur dans SAP Solution Manager (référencée CVE-2023-36925) avec un score CVSS de 7.2. Une autre vulnérabilité qui a reçu un score CVSS critique de 9.9 était une vulnérabilité d’injection SQL (référencée CVE-2022-41272) qui affecte également le service P4.
Les attaques culminent avec l’étape 3, où les chercheurs utilisent des requêtes HTTP locales ou un accès local et exploitent la vulnérabilité référencée CVE-2023-24523, une vulnérabilité d’élévation de privilèges dans SAP Host Agent au score CVSS de 8.8, pour obtenir un accès à privilèges au système cible.
Les chercheurs d’Onapsis ont fourni une liste exhaustive de vulnérabilités ayant permis les attaques et ont exhorté les entreprises à corriger toutes ces vulnérabilités, même si certaines peuvent sembler de moindre gravité. La présentation a montré que les acteurs malveillants peuvent emprunter plusieurs chemins d’exploitation différents pour atteindre la phase 3 et obtenir un accès à un compte à privilèges.
Les attaques ne nécessitent pas un acteur de menace particulièrement avancé, assurent les chercheurs, mais une connaissance de SAP est essentielle. Pablo Artuso décrit le niveau de difficulté pour exécuter la chaîne comme moyen. « En plus du niveau d’exploitation, les attaquants auraient besoin de connaissances SAP et de connaissances internes [du réseau cible] pour pouvoir exploiter les vulnérabilités », estime-t-il.
Bien que de nombreuses vulnérabilités sont critiques, il y a de bonnes nouvelles pour la défense : si les entreprises atténuent pour une étape, c’est toute la chaîne d’attaque qui est compromise, relève JP Perez-Etchegoyen. Cela pourrait inclure la correction d’un seul composant et souligne l’importance de la configuration des listes de contrôle d’accès (ACL).
SAP, maillon crucial de la sécurité
Pablo Artuso a souligné à quel point la sécurité des environnements SAP est cruciale pour les entreprises : « les systèmes SAP sont également vulnérables, car la plupart des gens ont tendance à négliger leur sécurité. Nous aimerions souligner le fait que les systèmes SAP existent et peuvent être vulnérables, et que les [entreprises] doivent prêter attention à leur sécurité ».
L’intérêt croissant des acteurs malveillants pour SAP est une autre raison pour laquelle la sensibilisation à la sécurité est importante. Actuellement, les attaquants peuvent exploiter les applications SAP, manuellement et de manière automatisée. Une autre évolution que JP Perez-Etchegoyen a soulignée concerne les logiciels malveillants et les rançongiciels : « par le passé, les applications SAP ont été quelque peu négligées du point de vue de la sécurité. Mais au cours des dernières années, les acteurs malveillants ont commencé à les intégrer dans leurs campagnes, ciblant une exploitation active, mettant à jour les malwares et les ransomwares pour couvrir ces applications, capturer des identifiants et obtenir des informations sur ces processus et services ».
Bien que les applications SAP ne contiennent pas nécessairement plus de vulnérabilités que d’autres logiciels, la principale préoccupation de JP Perez-Etchegoyen est le niveau de préparation des entreprises lorsqu’il s’agit de traiter l’environnement SAP. Il a observé une amélioration dans la gestion des correctifs de vulnérabilités SAP par les entreprises, mais il estime qu’il reste encore du travail à faire : « dans de très rares cas, il s’agit de correctifs hors bande. Mais dans la majorité des cas, des correctifs sont disponibles. Les entreprises doivent avoir les processus et les ressources pour pouvoir y faire face, tout comme elles le font avec tous les autres logiciels de leur paysage ».
Les ressources comprennent le fait de rester à jour avec les alertes du Patch Tuesday et de configurer des ACL spécifiques pour restreindre l’accès à certains services.