Une vieille faille SAP expose les données des entreprises négligentes

Malgré un patch diffusé en 2010, une vieille faille SAP a abouti à la compromission des données d’au moins 36 entreprises. L’illustration des enjeux de sécurité que soulèvent les environnements SAP.

Les vieilles vulnérabilités ont la vie dure, particulièrement sur des environnements souvent fortement customisés que les entreprises rechignent à mettre à jour. Selon la société spécialisée en sécurité Onapsis, ce sont au moins 36 organisations – dans l’énergie, les télécoms, l’automobile, la distribution, l’industrie, etc. – qui ont été victimes d’une attaque par des hackers exploitant une faille de SAP… que l’éditeur a patchée en 2010. Cette vulnérabilité leur donne accès à distance aux données du système.

Confirmée par une alerte du CERT (Computer Emergency Response Team) du gouvernement américain, cette attaque qui s’est étalée sur les 3 dernières années exploite un composant appelé « invoker servlet », permettant aux utilisateurs de faire fonctionner des applications Java dans SAP sans authentification. Les cybercriminels ont mis à profit cette fonction pour accéder à des données confidentielles. Selon Onapsis, la faille permettait même aux assaillants de prendre le contrôle des serveurs. « L’exploitation ne nécessite pas d’être un utilisateur habilité du système cible. Pour mettre à profit cette vulnérabilité, un assaillants n’a besoin que d’un navigateur Web et du domaine/hostname/adresse IP du système SAP », écrivent les chercheurs d’Onapsys. La société dit enquêter sur le sujet depuis début 2016. La faille concerne de multiples applications SAP, dont l’ERP, le PLM, le SCM, le CRM, mais aussi l’entrepôt de données BW, la BI, le portail et le middleware Netweaver.

« Pas un problème SAP »

Si Onapsis a déjà émis des alertes sur la faiblesse de la culture de sécurité dans le monde SAP, c’est la première fois que le CERT du gouvernement américain s’inquiète à ce sujet. Onapsis explique que les 36 entreprises chez qui il a trouvé des indicateurs de compromission sont situées aux Etats-Unis, en Grande-Bretagne, en Allemagne, en Chine, au Japon et en Corée du Sud. Il est toutefois probable que le problème touche aussi d’autres organisations

Si le correctif, qui désactive le composant incriminé par défaut, est vieux de 5 ans, les entreprises touchées l’ont probablement contourné pour assurer la compatibilité avec du code spécifique. SAP sort en moyenne plus de 30 correctifs de sécurité par mois mais, avant d’être implémentés, ces derniers doivent être qualifiés par les entreprises pour vérifier que leur application ne provoque pas des bugs ou de régressions dans des environnements parfois fortement customisés. « Ce n’est pas un problème venant de SAP lui-même, écrit Onapsis. Il trouve son origine dans le manque de visibilité, de gouvernance et de contrôle de la cybersécurité qui affecte les plates-formes SAP une fois celles-ci installées et en production. » Selon un sondage du Ponemon Institute auprès de 600 décideurs IT aux États-Unis, plus de la moitié des entreprises ont vu leur plateforme SAP attaquée en moyenne deux fois au cours des 24 derniers mois.

SAP semble avoir pris conscience de l’enjeu et a nommé, en début d’année, son premier Chief Security Officer, Justin Somaini, qui affiche quelque 20 années d’expérience dans le domaine (chez Yahoo, Symantec et Box).

A lire aussi :

Le risque de cyberattaques SAP est sous-estimé

Avec Hana, SAP redécouvre la sécurisation des données