SAP publie un patch de sécurité visant à combler des vulnérabilités de Hana, sa plateforme de gestion de données au cœur de son offre applicative depuis que le premier éditeur européen a décidé de tourner le dos aux bases de données relationnelles d’Oracle, Microsoft ou IBM. Mises en évidence par la société Onapsis, une petite société qui s’est fait connaître par ses découvertes relatives à la sécurité des ERP, ces failles permettent, en l’absence de tout code d’accès, de prendre le contrôle d’un environnement Hana et d’en extraire ou modifier les données. Etant donné le rôle clef que joue cette base de données In-Memory dans de nombreuses organisations, les conséquences peuvent être très lourdes : vol du fichier clients, désorganisation des processus clefs de l’entreprise, fraudes (par exemple en modifiant les comptes bancaires), etc.
Les vulnérabilités découvertes par Onapsis touchent un composant appelé User Self Service (USS). Désactivé par défaut, USS est mis en service quand des organisations souhaitent donner accès au système à des utilisateurs externes. C’est à ce moment que la possibilité d’exploitation se fait jour. Les chercheurs d’Onapsis ont découvert les failles dans Hana 2, sortie en novembre dernier, mais estiment qu’elles devraient également être présentes dans d’autres technologies SAP animées par la base In-Memory (Hana première version, S/4, Business Suite on Hana), USS ayant vu le jour en octobre 2014.
A ce jour, rien n’indique que la vulnérabilité ait été exploitée par un assaillant, mais Sebastian Bortnik, le directeur de la recherche d’Onapsis, estime que, comme la faille existe depuis 29 mois, cette possibilité existe bel et bien. Evidemment, l’application du patch publié par SAP, moins de 60 jours après avoir été prévenu par Onapsis, est hautement recommandé. Y compris au sein des entreprises n’ayant pas activé USS, « au cas où un changement interviendrait sur le système dans le futur », justifie Sebastian Bortnik.
Le correctif pour ces vulnérabilités USS a été publié dans le cadre du Patch Tuesday de SAP, que l’éditeur dévoile le second mardi du mois. Cette alerte de sécurité a reçu une priorité « très élevée » de la part de l’éditeur allemand, soit le niveau le plus haut parmi les 27 bulletins de ce mois. Au total, 5 alertes du mois de mars concernent Hana, dont une autre classée en priorité élevée peut aboutir à une élévation de privilèges sur l’installation par défaut de la version 2 de la technologie In-Memory.
A lire aussi :
https://blogs.sap.com/2017/03/14/sap-security-patch-day-march-2017/
Une vieille faille SAP expose les données des entreprises négligentes
S/4 Hana : le nouvel ERP de SAP scelle le divorce d’avec Oracle
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.