Comme chaque semaine, le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée. Nous vous proposons cette semaine de revenir sur l’annonce d’une attaque sur SAP par le CERT US.
Description :
Le CERT-US a publié un bulletin d’information afin d’alerter les différents utilisateurs d’instances de SAP à travers le monde.
Selon les recherches du CERT-US en collaboration avec le Department of Homeland Security (DHS), au moins 36 organisations internationales sont affectées par une vulnérabilité touchant SAP. Des traces de compromissions ont pu être observées sur ces organisations par des chercheurs d’Onapsis, spécialistes dans le domaine.
L’indicateur de compromissions le plus retrouvé est lié au service « Invoker Servlet », présent par défaut au sein des plateformes Java SAP NetWeaver Application Server. Ce dernier contient une vulnérabilité triviale à exploiter, corrigée depuis 2010. Cependant, peu d’organisations et entreprises ont véritablement corrigé cette vulnérabilité, ou des défauts de configuration permettent toujours son exploitation.
Le service vulnérable est présent au sein des logiciels suivants :
- SAP Enterprise Resource Planning (ERP),
- SAP Product Lifecycle Management (PLM),
- SAP Customer Relationship Management (CRM),
- SAP Supply Chain Management (SCM),
- SAP Supplier Relationship Management (SRM),
- SAP NetWeaver Business Warehouse (BW),
- SAP Business Intelligence (BI),
- SAP NetWeaver Mobile Infrastructure (MI),
- SAP Enterprise Portal (EP),
- SAP Process Integration (PI),
- SAP Exchange Infrastructure (XI),
- SAP Solution Manager (SolMan),
- SAP NetWeaver Development Infrastructure (NWDI),
- SAP Central Process Scheduling (CPS),
- SAP NetWeaver Composition Environment (CE),
- SAP NetWeaver Enterprise Search,
- SAP NetWeaver Identity Management (IdM), and
- SAP Governance, Risk & Control 5.x (GRC).
Note : la vulnérabilité est indépendante de la plateforme ou de la base de données utilisée.
Référence :
Référence CERT-XMCO :
CXN-2016-1521