SAP publie un patch de sécurité visant à combler des vulnérabilités de Hana, sa plateforme de gestion de données au cœur de son offre applicative depuis que le premier éditeur européen a décidé de tourner le dos aux bases de données relationnelles d’Oracle, Microsoft ou IBM. Mises en évidence par la société Onapsis, une petite société qui s’est fait connaître par ses découvertes relatives à la sécurité des ERP, ces failles permettent, en l’absence de tout code d’accès, de prendre le contrôle d’un environnement Hana et d’en extraire ou modifier les données. Etant donné le rôle clef que joue cette base de données In-Memory dans de nombreuses organisations, les conséquences peuvent être très lourdes : vol du fichier clients, désorganisation des processus clefs de l’entreprise, fraudes (par exemple en modifiant les comptes bancaires), etc.
Les vulnérabilités découvertes par Onapsis touchent un composant appelé User Self Service (USS). Désactivé par défaut, USS est mis en service quand des organisations souhaitent donner accès au système à des utilisateurs externes. C’est à ce moment que la possibilité d’exploitation se fait jour. Les chercheurs d’Onapsis ont découvert les failles dans Hana 2, sortie en novembre dernier, mais estiment qu’elles devraient également être présentes dans d’autres technologies SAP animées par la base In-Memory (Hana première version, S/4, Business Suite on Hana), USS ayant vu le jour en octobre 2014.
A ce jour, rien n’indique que la vulnérabilité ait été exploitée par un assaillant, mais Sebastian Bortnik, le directeur de la recherche d’Onapsis, estime que, comme la faille existe depuis 29 mois, cette possibilité existe bel et bien. Evidemment, l’application du patch publié par SAP, moins de 60 jours après avoir été prévenu par Onapsis, est hautement recommandé. Y compris au sein des entreprises n’ayant pas activé USS, « au cas où un changement interviendrait sur le système dans le futur », justifie Sebastian Bortnik.
Le correctif pour ces vulnérabilités USS a été publié dans le cadre du Patch Tuesday de SAP, que l’éditeur dévoile le second mardi du mois. Cette alerte de sécurité a reçu une priorité « très élevée » de la part de l’éditeur allemand, soit le niveau le plus haut parmi les 27 bulletins de ce mois. Au total, 5 alertes du mois de mars concernent Hana, dont une autre classée en priorité élevée peut aboutir à une élévation de privilèges sur l’installation par défaut de la version 2 de la technologie In-Memory.
A lire aussi :
https://blogs.sap.com/2017/03/14/sap-security-patch-day-march-2017/
Une vieille faille SAP expose les données des entreprises négligentes
S/4 Hana : le nouvel ERP de SAP scelle le divorce d’avec Oracle
Booster les performances des forces de vente en fondant les processus commerciaux sur ce que…
Respectivement DG et CTO de Red Hat France, Rémy Mandon et David Szegedi évoquent le…
Canonical formalise un service de conception de conteneurs minimalistes et y associe des engagements de…
L'Autorité de la concurrence s'apprêterait à inculper NVIDIA pour des pratiques anticoncurrentielles sur le marché…
Le CERT-FR revient sur les failles dans équipements de sécurité présents notamment en bordure de…
Mistral AI formalise ses travaux communs avec l'entreprise finlandaise Silo AI, qui publie elle aussi…