Les résultats obtenus par le service Onapsis Business Risk Illustration dans plus de 100 entreprises permettent une analyse multisectorielle des risques critiques qui pèsent sur les environnements SAP.
Onapsis, le spécialiste mondial de la sécurité des applications d’entreprise, a dressé via son service d’analyse des risques Onapsis Business Risk Illustration (BRI), lancé au début de l’année 2016, un état des lieux de la sécurité des systèmes SAP dans les différents secteurs d’activité. Les analyses effectuées dans les environnements SAP d’entreprises du secteur de la fabrication, du pétrole et du gaz, de l’aéronautique et de l’industrie pharmaceutique, ont révélé des failles de sécurité hautement critiques. Dans bon nombre de cas, une prise de contrôle à distance des applications et des flux de données SAP se sont avérés possibles. À ce jour, Onapsis a analysé in situ les déploiements SAP de plus de 100 entreprises et formulé une première série de recommandations.
480 failles ont été décelées au total, dont 142 jugées de niveau critique ou élevé selon les critères du système de notation Common Vulnerability Scoring System (CSSV) et qui par conséquent doivent être corrigées en priorité. Dans les entreprises du secteur pétrolier et gazier, les analyses ont révélé 127 failles, dont un grand nombre de niveau critique car elles permettraient un piratage des données stratégiques abritées par les systèmes SAP. Dans les entreprises du secteur aéronautique, 145 failles ont été détectées, parmi lesquelles plusieurs classées comme critiques car pouvant permettre à des hackers de lire, écrire ou copier des informations stratégiques pour l’entreprise. Dans l’industrie pharmaceutique, les experts Onapsis ont décelé 138 failles, dont plusieurs permettraient une prise de contrôle totale à distance des applications SAP via le serveur de l’entreprise.
Accès à distance non autorisés
Quel que soit le secteur d’activité, différents mécanismes d’accès à distance aux systèmes SAP sont très largement répandus. Les failles décelées permettent d’accéder aux instances SAP, à l’administration des systèmes et au serveur RFC. De plus, il est possible d’établir des connexions en mode anonyme ou d’intercepter des communications RFC non cryptées. Résultat, des pirates pourraient récupérer, lire, écrire ou effacer des informations. Ils pourraient notamment contrôler le trafic de données et visualiser des paramètres de configuration afin de préparer de nouvelles attaques. Concernant les systèmes analysés, il existe également un risque d’attaque par déni de service ou de prise de contrôle totale des systèmes SAP. Des attaques de type « man-in-the-middle » (intermédiaire) ou « traffic sniffing » (reniflage du trafic) permettraient entre autres la consultation des données d’accès.
Une protection insuffisante du servlet Invoker permet dans bon nombre de cas à des hackers de se connecter à distance aux applications SAP en Java afin de contourner les mécanismes d’authentification externes, ou de créer arbitrairement des utilisateurs SAP pour se livrer à des activités frauduleuses. Cette faille a été découverte dans 36 entreprises aux États-Unis, au Royaume-Uni, en Allemagne, en Chine, en Inde, au Japon et en Corée du Sud. Ce constat est dramatique et en même temps incompréhensible dans la mesure où il existe depuis six ans déjà un patch SAP pour corriger cette faille. Les systèmes SAP mis à jour ne sont pas affectés. Cette faille a conduit l’autorité US-CERT à émettre pour la première fois en mai dernier un avertissement de sécurité pour les systèmes SAP.
Les plates-formes SAP Java offrent des fonctionnalités intégrées et un cadre complet de processus de bibliothèques et de services pour le développement et le déploiement d’applications SAP en Java. Parmi ces fonctionnalités figure le servlet Invoker, inclus en standard dans les spécifications J2EE de Sun (désormais Oracle). Ce servlet a été introduit en tant qu’outil de développement rapide afin de tester les applications Java. Lorsqu’il est activé, les développeurs et les utilisateurs peuvent appeler directement les servlets, sans contrôle d’authentification ou d’autorisation.
« En matière de sécurité SAP, les résultats montrent que dans bon nombre de secteurs d’activité, les entreprises ont un énorme retard à rattraper en ce qui concerne la surveillance de la sécurité de leurs systèmes SAP », déclare Mariano Nunez, co-fondateur et CEO d’Onapsis. « Les failles de sécurité au sein des environnements SAP mettent potentiellement en danger les processus et les données stratégiques des entreprises. Les failles que nous révélons de manière confidentielle à nos clients peuvent souvent être corrigées au moyen des patchs existants. Toutefois, un grand nombre d’entreprises manquent de visibilité quant aux failles de sécurité de leurs systèmes SAP. Elles ne disposent pas non plus de toutes les ressources nécessaires pour traiter le problème et n’ont pas défini clairement les responsabilités dans le cadre d’une politique de sécurité SAP.