SAP HANA, une cible alléchante et vulnérable
ERPScan alerte d’un intérêt croissant des pirates pour SAP HANA, lequel présente un nombre important de vulnérabilités connues.
Attention aux déploiements SAP HANA, affirme en substance Dmitry Chastukhin, directeur Services Professionnels d’ERPScan, un spécialiste de la sécurité des applications métiers, et en particulier de celle des outils SAP.
De fait, selon lui, les recherches de vulnérabilités s’intéressent de moins en moins aux anciennes plateformes SAP pour se concentrer désormais sur HANA et SAP Mobile. Las, tous deux « ont un nombre croissant de vulnérabilités identifiées » et, surtout, « des problèmes de conception critiques et utilisent des clés par défaut pour chiffrer des données importantes telles que mots de passe, stockage sécurisé et sauvegardes ».
En particulier, si HANA garde en mémoire l’essentiel des données sur lesquelles il travaille, certaines sont enregistrées régulièrement sur disque. Et parmi celles-ci, Alexander Polyakov, directeur technique d’ERPScan, explique que l’on peut trouver « certains noms d’utilisateur et mots de passe techniques aux côtés des clés de chiffrement des points d’enregistrement ». Et ce stockage n’est autre qu’un « simple fichier sur disque, chiffré avec l’algorithme 3DS et une clé maître statique ».
Alors, certes, SAP recommande clairement de changer cette clé maître statique mais, selon ERPScan, « malheureusement, très peu de clients suivent ces recommandations ».
SAP Mobile Platform présente un problème comparable : « les mots de passe applicatifs sont stockés de manière chiffrée avec une clé statique connue ».
En outre, HANA s’avère vulnérable aux injections SQL. Un correctif est proposé par SAP, comme le relève le cabinet. Mais encore faut-il qu’il ait été déployé.