SAP : les chercheurs d’Onapsis détaillent de nouvelles menaces de sécurité

Les chercheurs d’Onapsis ont révélé de nouveaux vecteurs d’attaque sur les environnements SAP qui combinent des vulnérabilités existantes pour des exploitations en chaîne potentiellement dévastatrices.

Pablo Artuso, chercheur principal en sécurité chez Onapsis, a présenté les attaques avec son collègue chercheur Yvan Geuner lors d’une session Black Hat 2023 intitulée « Enchaînés pour frapper : découvrir de nouveaux vecteurs pour obtenir un accès à distance et root dans le logiciel d’entreprise SAP ». Au cours de la session, les chercheurs ont démontré comment ils ont combiné trois attaques différentes pour obtenir un accès root dans un système SAP.

Les différentes attaques ont impliqué l’enchaînement de vulnérabilités du logiciel d’entreprise SAP, dont beaucoup ont reçu des scores CVSS élevés et critiques. Avant la conférence Black Hat, Pablo Artuso et le CTO d’Onapsis, JP Perez-Etchegoyen, ont parlé de leurs recherches avec l’équipe éditoriale de TechTarget.

Les attaques démontrées lors de la session ont combiné trois différents projets de recherche chez Onapsis. En enchaînant les projets, les chercheurs ont découvert qu’en obtenant un accès HTTP, ils pouvaient obtenir un accès root dans le système SAP sans aucune authentification requise.

Après avoir obtenu un accès HTTP à un réseau cible, qui est la première étape, les chercheurs ont exploité une vulnérabilité de SAP NetWeaver Enterprise Portal, référencée CVE-2023-28761, qui leur a donné la possibilité de lancer arbitrairement des applications sans autorisation. Cette vulnérabilité permet également à un attaquant non authentifié d’accéder éventuellement aux paramètres et données du serveur, ou de les modifier.

De là, les chercheurs d’Onapsis se sont intéressés à une partie cruciale de la chaîne d’attaque qui impliquait un protocole propriétaire de SAP appelé P4 et qui est basée sur Remote Method Invocation, une API Java. P4 est présent dans tous les serveurs d’applications SAP NetWeaver pour Java et est conçu pour faciliter les communications à distance. Point positif, les chercheurs d’Onapsis affirment que les services P4 sont rarement exposés sur internet.

D’un autre côté, le service peut causer des dommages significatifs entre de mauvaises mains. Au printemps, Onapsis a révélé une série de vulnérabilités qu’elle a nommées « P4Chains », certaines d’entre elles affectant le protocole et étant utilisées dans les nouvelles attaques en chaîne. Dans un rapport intitulé « P4Chains : analyse de l’impact des vulnérabilités affectant SAP P4 », Onapsis explique que l’obtention d’un accès au protocole peut rendre des vulnérabilités apparemment moins graves beaucoup plus dangereuses.

« Même si l’exploitation de ces problèmes est, dans la plupart des cas, limitée aux réseaux locaux, il existe des configurations et des vulnérabilités que les attaquants pourraient utiliser en combinaison avec les vulnérabilités affectant les services P4, ce qui conduit finalement à une exploitation potentielle de ces problèmes via le protocole HTTP(s), même sur internet », indique le rapport.

Après avoir exploité la vulnérabilité de NetWeaver Enterprise Portal, les chercheurs d’Onapsis ont obtenu l’accès au service P4, qui constitue la deuxième étape des attaques. Les chercheurs ont alors exploité la vulnérabilité référencée CVE-2023-23857, une vulnérabilité de type déni de service et de lecture arbitraire de fichiers système qui impacte P4 et présente un score CVSS de 9.9, ainsi que la vulnérabilité référencée CVE-2023-27497, une vulnérabilité d’exécution de code à distance dans SAP Diagnostics Agent qui présente un score CVSS de 10.

D’autres vulnérabilités exploitées lors de la deuxième phase des attaques comprennent une vulnérabilité de contrefaçon de requête côté serveur dans SAP Solution Manager (référencée CVE-2023-36925) avec un score CVSS de 7.2. Une autre vulnérabilité qui a reçu un score CVSS critique de 9.9 était une vulnérabilité d’injection SQL (référencée CVE-2022-41272) qui affecte également le service P4.

Les attaques culminent avec l’étape 3, où les chercheurs utilisent des requêtes HTTP locales ou un accès local et exploitent la vulnérabilité référencée CVE-2023-24523, une vulnérabilité d’élévation de privilèges dans SAP Host Agent au score CVSS de 8.8, pour obtenir un accès à privilèges au système cible.

Les chercheurs d’Onapsis ont fourni une liste exhaustive de vulnérabilités ayant permis les attaques et ont exhorté les entreprises à corriger toutes ces vulnérabilités, même si certaines peuvent sembler de moindre gravité. La présentation a montré que les acteurs malveillants peuvent emprunter plusieurs chemins d’exploitation différents pour atteindre la phase 3 et obtenir un accès à un compte à privilèges.

Les attaques ne nécessitent pas un acteur de menace particulièrement avancé, assurent les chercheurs, mais une connaissance de SAP est essentielle. Pablo Artuso décrit le niveau de difficulté pour exécuter la chaîne comme moyen. « En plus du niveau d’exploitation, les attaquants auraient besoin de connaissances SAP et de connaissances internes [du réseau cible] pour pouvoir exploiter les vulnérabilités », estime-t-il.

Bien que de nombreuses vulnérabilités sont critiques, il y a de bonnes nouvelles pour la défense : si les entreprises atténuent pour une étape, c’est toute la chaîne d’attaque qui est compromise, relève JP Perez-Etchegoyen. Cela pourrait inclure la correction d’un seul composant et souligne l’importance de la configuration des listes de contrôle d’accès (ACL).