Vestas, première victime connue de la vulnérabilité SAP-RECON ?

Ce samedi 20 novembre, en tout début de matinée, le Danois Vestas, spécialiste de l’énergie éolienne, indiquait, dans un communiqué de presse, avoir été « affecté par un incident de cybersécurité ».

Quarante-huit heures plus tard, Vestas expliquait, dans un second communiqué, que l’incident avait « affecté des parties de [son] infrastructure IT interne et que des données avaient été compromises ». Il assurait toutefois ne pas avoir d’indication que « l’incident ait affecté les activités de tiers, y compris celles de clients ou de logistique », tout en précisant que ses équipes de « fabrication, construction et service ont été capables de continuer leurs activités », malgré l’arrêt de « plusieurs systèmes IT opérationnels, par précaution ».

Mais voilà, les données du moteur de recherche spécialisé Onyphe suggèrent que Vestas exploitait et exposait sur Internet un système SAP NetWeaver encore affecté par la vulnérabilité CVE-2020-6287 à la mi-novembre.

« L’exploitation réussie de RECON pourrait donner à un attaquant non authentifié un accès complet au système SAP affecté. »

Dite SAP-RECON, pour Remotely Exploitable Code on NetWeaver, cette vulnérabilité a été dévoilée à l’occasion de la publication du lot de correctifs de SAP de mi-juillet 2020 et présente un score CVSS de 10, le plus élevé de cette échelle de notation. Comme l’indiquait à l’époque sur son site web le spécialiste de la sécurité des ERP, Onapsis, « l’exploitation réussie de RECON pourrait donner à un attaquant non authentifié un accès complet au système SAP affecté. Cela inclut la possibilité de modifier des enregistrements financiers, de voler des données personnelles identifiables d’employés, clients et fournisseurs, de corrompre des données ou modifier des journaux d’activité et des traces, ainsi que d’autres actions qui menacent des activités métiers essentielles, la cybersécurité, et la conformité réglementaire ». Avec au programme aussi, la possibilité de créer un nouvel utilisateur disposant de droits d’administration, ou d’élever à ce niveau ceux d’un utilisateur existant.

C’est Onapsis qui a découvert cette vulnérabilité critique et l’a signalée initialement à SAP fin mai 2020. Quelques jours plus tard, début juin, l’éditeur accusait réception de la notification. Début juin 2020, il indiquait travailler à un correctif.

L’agence américaine pour la sécurité et la sécurité des infrastructures, la CISA, a très vite pris le sujet très au sérieux, émettant un bulletin d’alerte le 13 juillet 2020. Dans celui-ci, elle recommandait d’appliquer les correctifs « immédiatement », en commençant, en priorité par les systèmes exposés directement sur Internet. À défaut de pouvoir appliquer les correctifs, l’agence conseillait de suivre les préconisations de SAP, à savoir de désactiver le service LM Configuration Wizard.

Pour la CISA, ces mesures devaient être prises sous 24h. En cas d’impossibilité, il convenait de « superviser étroitement le service applicatif SAP NetWeaver » à la recherche de toute activité « anormale ».

Mais à l’époque, l’agence n’avait pas connaissance d’exploitation active de la vulnérabilité SAP-RECON. Elle est revenue à la charge début avril 2021, soulignant que « les chercheurs en sécurité d’Onapsis, en coordination avec SAP, ont publié une alerte détaillant une activité malicieuse et des techniques susceptibles de conduire au contrôle complet d’applications SAP non sécurisées ». Des démonstrateurs d’exploitation étaient déjà publiquement accessibles depuis plusieurs mois et les recherches de systèmes vulnérables avaient déjà été largement observées.