L’US-CERT, l’équipe de préparation aux urgences informatiques des États-Unis a pour la première fois lancé une alerte (TA16-132A) concernant les progiciels SAP.
Elle fait écho à une étude d’Onapsys, un spécialiste de la cybersécurité des systèmes SAP et Oracle, qui montre que plus de 36 entreprises dans le monde sont vulnérables à des attaques informatiques sur leurs systèmes SAP, et que des indices semblent prouver qu’elles sont activement attaquées.
Par pure incompétence de leurs équipes informatiques, puisque la faille de sécurité peut être corrigée à l’aide d’un correctif de sécurité mis à disposition par SAP en 2010…
Même en tenant compte de la lourdeur des systèmes, de la durée des procédures d’assurance qualité et des tests de régression du correctif, l’inaction semble inexcusable.
La faille concerne le servlet Invoker du serveur d’applications Java NetWeaver, qui est inclus dans plus de 18 produits de SAP :
• SAP Enterprise Resource Planning (ERP),
•SAP Product Lifecycle Management (PLM),
•SAP Customer Relationship Management (CRM),
•SAP Supply Chain Management (SCM),
•SAP Supplier Relationship Management (SRM),
•SAP NetWeaver Business Warehouse (BW),
•SAP Business Intelligence (BI),
•SAP NetWeaver Mobile Infrastructure (MI),
•SAP Enterprise Portal (EP),
•SAP Process Integration (PI),
•SAP Exchange Infrastructure (XI),
•SAP Solution Manager (SolMan),
•SAP NetWeaver Development Infrastructure (NWDI),
•SAP Central Process Scheduling (CPS),
•SAP NetWeaver Composition Environment (CE),
•SAP NetWeaver Enterprise Search,
•SAP NetWeaver Identity Management (IdM), and
•SAP Governance, Risk & Control 5.x (GRC).
La faille de sécurité donne un accès complet aux systèmes SAP à des attaquants non authentifiés, à toutes les informations d’affaires, et potentiellement un accès aux systèmes connectés aux systèmes SAP.
Pour exploiter cette faille, un attaquant n’a besoin que d’un accès à Internet, un navigateur Web, et l’adresse IP ou le nom du serveur SAP.