James Steidl - Fotolia
Alerte à une vulnérabilité dans les plateformes Java de SAP
Le Cert-US alerte sur une vulnérabilité affectant les plateformes Java de SAP datant de 2010, corrigée mais largement exploitée.
Une vulnérabilité présente dans les plateformes Java utilisées dans les applications SAP apparaît aujourd’hui largement exploitée. Et cela bien qu’elle ait été corrigée en 2010. C’est en tout cas ce qu’indique le Cert-US, relevant que plusieurs dizaines de multinationales ont souffert de brèches de sécurité liées à l’exploitation de cette vulnérabilité. Selon ce dernier, l’attaque utilise « le servlet Invoker, une fonctionnalité intégrée à SAP NetWeaver Application Server ». La vulnérabilité continue d’affecter des « systèmes SAP obsolètes ou mal configurés ».
Onapsis indique avoir découvert des indicateurs de compromission liés à cette vulnérabilité affectant 36 multinationales « situées – ou filiales d’entreprises situées – aux Etats-Unis, au Royaume-Uni, en Allemagne, en Chine, en Inde, au Japon, et en Corée du Sud, recouvrant nombre de secteurs d’activité, dont le pétrole et le gaz, les télécommunications, les utilités, le commerce de détail, l’automobile et l’aciérie ». Les entreprises concernées ont été alertées par l’éditeur.
De son côté, SAP relève que le servlet Invoket a été supprimé de Netweaver avec sa version 7.20, en 2010 : « SAP a distribué des correctifs aux applications sous contrat de maintenance et, dès lors, toutes les applications SAP lancées depuis sont dépourvues de cette vulnérabilité ».
Mais les développements personnalisés typiques des déploiements SAP font là toute la différence. Ainsi, SAP relève que « des changements de configuration tels que ceux-ci étaient connus pour casser les développements logiciels personnalisés des clients, et c’est la raison pour laquelle cette fonctionnalité n’a pas été désactivée par défaut dans les versions antérieures à SAP NetWeaver 7.20 ». Toutefois, fin 2010, l’éditeur informait ses clients et les invitait à désactiver le servlet en question.
Et il y a de quoi : selon l’alerte du Cert-US, la vulnérabilité qui l’affecte peut être utilisée pour prendre le contrôle complet, à distance, des plateformes SAP affectées.
Pour Alexander Polyakov, directeur technique d’ERPScan, il convient là de rendre responsables les administrateurs des systèmes concernés : « il n’y a pas de nouveaux correctifs, rien n’a été publié de nouveau par SAP, et je ne m’attends à rien de nouveau. Les correctifs sont déjà là, et il revient maintenant aux administrateurs de configurer leurs systèmes proprement. C’est un problème de configuration ».
Avec nos confrères de SearchSecurity.com.